SlideShare una empresa de Scribd logo

Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb

Security Session
Security Session

Kontrola uživatelských účtů ve Windows a jak ji obejít

Tecnología
1 de 17
Descargar para leer sin conexión
User Account Control a jak jej obejít Martin Dráb martin.drab@email.cz http://www.jadro-windows.cz
Co to je UAC
Obecné informace ● Windows Vista – Dialog při libovolné nutnosti zvýšit oprávnění – I v Ovládacích panelech – Otravné, ale bezpečné (alespoň myslím) ● Windows 7+ – Některé aplikace projdou dialogem automaticky (uživatel nic nepozná) – Neotravuje, ale zranitelné – Již od Windows 7 RTM (Leo Davidson) ● O jeho práci si budeme povídat
Kontrola přístupu ● Token – SIDy uživatelských skupin – Úroveň integrity – Integritní politika – Privilegia ● Deskriptor zabezpečení – DACL (seznam položek): ● Povolit přístup X SIDu Y ● Zakázat přístup X SIDu Y – Úroveň integrity – Integritní politika
Odlišnost oprávnění Vlastnost Neprošly UAC dialogem Prošly UAC dialogem Skupina Administrators v DACL Zákaz přístupu Povolení přístupu Zákaz přístupu Úroveň integrity Normální (S-1-16-8192) Vysoká (S-1-16-12188) Zajímavá privilegia NE ANO
Hlavní myšlenka ● Vytvořit útočnou knihovnu vhodně vybraného jména ● Dostat ji k některé z aplikací automaticky procházející UAC dialogem (vybrat obětního beránka) – %windir%system32sysprepSysprep.exe – %windir%system32cliconfg.exe – %windir%system32oobesetupsqm.exe – ... ● Tuto aplikaci spustit – Načte útočnou knihovnu – Administrátorská oprávnění
Spustitelné soubory ● Formát Portable Executable (PE) ● DLL knihovny, EXE soubory, ovladače (SYS) ● Obsah: – Kód (soubor funkcí a procedur), – Data (globální proměnné, konstanty), – Exportované symboly (podprogramy, proměnné poskytované jiným spustitelným souborům) – Importované symboly (podprogramy a proměnné z jiných knihoven potřené k správnému fungování daného souboru) ● Jméno knihovny neobsahuje cestu
Načítání ● Automatické. Knihovna exportuje symboly importované jinou knihovnou, kteoru aplikace chce načíst ● Explicitní. Knihovna je načtena, protože o to aplikace explicitně požádala. ● Líné načtení (delay load). Knihovna je načtena až v okamžiku, kdy aplikace některý z exportovaných symbolů opravdu použije (kombinace obou předchozích). ● Ani v jednom případě se často uvede jen jméno souboru knihovny, ne celá cesta.
Prohledávané oblasti Standardní prohledávání Alternativní prohledávání SafeDllSearchMode SafeDllSearchMode Povolen Zakázán Povolen Zakázán Složka aplikace 1 1 Systémový adresář 2 3 2 3 Sys. adresář (16bit) 3 4 3 4 Adresář Windows 4 5 4 5 Aktuální adresář 5 2 5 2 %PATH% 6 6 6 6 Plné jméno souboru 1 1
Kopírování k beránkovi ● Beránci obvykle sídlí v systémovém adresáři nebo v jeho podstromě – Zápis vyžaduje administrátorská oprávnění ● Některé procesy mohou i do takových míst kopírovat soubory (ne přepisovat) za využití COM objektu IFileOperation. – Průzkumník Windows (explorer.exe) ● Je třeba je ke kopírování donutit – Injekce kódu
Více o výběru beránka ● Seznam aplikací automaticky procházejících UAC dialogem lze najít na internetu ● Nebo tipnout – Podívat se po aplikacích s méně známými názvy v systémovém adresáři či jeho podstromu. ● Spustit vybranou aplikaci a zjistit, jaké DLL knihovny používá a ověřit, které z nich nejsou známé či v manifestu.
Ukázka ● Obětní beránek – %windir%system32cliconfg.exe ● Název knihovny – NTWDBLIB.DLL ● Kroky – Vložení knihovny do procesu Průzkumníka – Knihovna zjistí, zda disponuje administrátorskými právy ● Pokud ne, nakopíruje se do systémového adresáře a spustit obětního beránka, počká na jeho ukončení a smaže se. ● Pokud ano, spustí Příkazový řádek a ukončí proces.
Obrana ● Používat plné cesty k souborům knihoven + alternativní prohledávání ● Knihovna patří mezí tzv. známé – Klíč registru KnownDlls (KnownDlls32 pro WOW64) ● HKLMSYSTEMCurrentControlSetControlsSession Manager – Knihovny přednačteny, obvykle sídlí v systémovém adresáři ● Plná cesta ke knihovně uvedena v manifestu (součást souboru aplikace) – elementy <file>
Příklad obrany manifestem ● Obětní beránek – %windir%system32sysprepsysprep.exe ● V manifestu je napsáno (Windows 8.1): – “Specifically load these DLLs from the specified path. This is done as a defence-in-depth approach to closing a known UAC exploit related to Sysprep.exe being auto-elevated.“ – Ale na shcore.dll zapomněli
Reálné zneužití ● Carberp – „open source“ ● GoodKit ● Win32/Tilon (LD) ● WinNT/Pitou (LD) ● WinNT/Simda (ISecurityEditor) ● … (určitě budou i další)
Zdroje a zajímavé odkazy ● Leo Davidson – http://www.pretentiousname.com/misc/win7_uac_w hitelist2.html ● UACMe – https://github.com/hfiref0x/UACME ● Kernelmode.info – http://www.kernelmode.info/forum/viewtopic.php? f=11&t=3643
??? ● Email: martin.drab@email.cz ● Web: http://www.jadro-windows.cz ● ICQ: 332970040

Recomendados

Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýJak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýSecurity Session
 
Co se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkCo se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkSecurity Session
 
Script: 1st Draft
Script: 1st DraftScript: 1st Draft
Script: 1st Draftcrowscrowns
 
Implementace systemu HIPS
Implementace systemu HIPSImplementace systemu HIPS
Implementace systemu HIPSSecurity Session
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
Zranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiZranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiSecurity Session
 
Czech Sun Training Day 2009 - Solaris
Czech Sun Training Day 2009 - SolarisCzech Sun Training Day 2009 - Solaris
Czech Sun Training Day 2009 - SolarisMartin Cerveny
 
Maturitní otázka
Maturitní otázkaMaturitní otázka
Maturitní otázkaLenka Brothánková
 

Recomendados

Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýJak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýSecurity Session
 
Co se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkCo se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkSecurity Session
 
Script: 1st Draft
Script: 1st DraftScript: 1st Draft
Script: 1st Draftcrowscrowns
 
Implementace systemu HIPS
Implementace systemu HIPSImplementace systemu HIPS
Implementace systemu HIPSSecurity Session
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
Zranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiZranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiSecurity Session
 
Czech Sun Training Day 2009 - Solaris
Czech Sun Training Day 2009 - SolarisCzech Sun Training Day 2009 - Solaris
Czech Sun Training Day 2009 - SolarisMartin Cerveny
 
Maturitní otázka
Maturitní otázkaMaturitní otázka
Maturitní otázkaLenka Brothánková
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
 
06 Cvičení.pptx
06 Cvičení.pptx06 Cvičení.pptx
06 Cvičení.pptxMagdalnaBohuslavov
 
IdM na platformě IBM Tivoli pro UHK
IdM na platformě IBM Tivoli pro UHKIdM na platformě IBM Tivoli pro UHK
IdM na platformě IBM Tivoli pro UHKhurdalek
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Radim Klaška
 
KST/ICSHP - 1. přednáška
KST/ICSHP - 1. přednáškaKST/ICSHP - 1. přednáška
KST/ICSHP - 1. přednáškaJan Hřídel
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)DCIT, a.s.
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikTUESDAY Business Network
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devuVašek Purchart
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Péhápkaři
 
4314 pristupova prava_k_souborum_a_slozkam_2
4314 pristupova prava_k_souborum_a_slozkam_24314 pristupova prava_k_souborum_a_slozkam_2
4314 pristupova prava_k_souborum_a_slozkam_2pisaceku
 
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Security Session
 
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
 
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
 
Prezentace brno
Prezentace brnoPrezentace brno
Prezentace brnoSecurity Session
 
OSINT and beyond
OSINT and beyondOSINT and beyond
OSINT and beyondSecurity Session
 
Exploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýExploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýSecurity Session
 

Más contenido relacionado

Similar a Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb

Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
 
IdM na platformě IBM Tivoli pro UHK
IdM na platformě IBM Tivoli pro UHKIdM na platformě IBM Tivoli pro UHK
IdM na platformě IBM Tivoli pro UHKhurdalek
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Radim Klaška
 
KST/ICSHP - 1. přednáška
KST/ICSHP - 1. přednáškaKST/ICSHP - 1. přednáška
KST/ICSHP - 1. přednáškaJan Hřídel
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)DCIT, a.s.
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikTUESDAY Business Network
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devuVašek Purchart
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Péhápkaři
 
4314 pristupova prava_k_souborum_a_slozkam_2
4314 pristupova prava_k_souborum_a_slozkam_24314 pristupova prava_k_souborum_a_slozkam_2
4314 pristupova prava_k_souborum_a_slozkam_2pisaceku
 

Similar a Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb (10)

Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
 
06 Cvičení.pptx
06 Cvičení.pptx06 Cvičení.pptx
06 Cvičení.pptx
 
IdM na platformě IBM Tivoli pro UHK
IdM na platformě IBM Tivoli pro UHKIdM na platformě IBM Tivoli pro UHK
IdM na platformě IBM Tivoli pro UHK
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?
 
KST/ICSHP - 1. přednáška
KST/ICSHP - 1. přednáškaKST/ICSHP - 1. přednáška
KST/ICSHP - 1. přednáška
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devu
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
 
4314 pristupova prava_k_souborum_a_slozkam_2
4314 pristupova prava_k_souborum_a_slozkam_24314 pristupova prava_k_souborum_a_slozkam_2
4314 pristupova prava_k_souborum_a_slozkam_2
 

Más de Security Session

Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Security Session
 
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
 
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
 
Exploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýExploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýSecurity Session
 
Research in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýResearch in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýSecurity Session
 
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýDolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýSecurity Session
 
Two Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožTwo Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožSecurity Session
 
Falsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiFalsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiSecurity Session
 
Detekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiDetekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiSecurity Session
 
Dejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteDejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteSecurity Session
 

Más de Security Session (20)

Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
 
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
 
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
 
Prezentace brno
Prezentace brnoPrezentace brno
Prezentace brno
 
OSINT and beyond
OSINT and beyondOSINT and beyond
OSINT and beyond
 
Exploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýExploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan Kopecký
 
Research in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýResearch in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin Drahanský
 
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýDolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
 
Turris - Robert Šefr
Turris - Robert ŠefrTurris - Robert Šefr
Turris - Robert Šefr
 
Two Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožTwo Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal Ambrož
 
Falsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiFalsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivosti
 
Nehacknutelny web
Nehacknutelny webNehacknutelny web
Nehacknutelny web
 
Detekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiDetekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnosti
 
Dejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteDejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom svete
 

Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb

  • 1. User Account Control a jak jej obejít Martin Dráb martin.drab@email.cz http://www.jadro-windows.cz
  • 2. Co to je UAC
  • 3. Obecné informace ● Windows Vista – Dialog při libovolné nutnosti zvýšit oprávnění – I v Ovládacích panelech – Otravné, ale bezpečné (alespoň myslím) ● Windows 7+ – Některé aplikace projdou dialogem automaticky (uživatel nic nepozná) – Neotravuje, ale zranitelné – Již od Windows 7 RTM (Leo Davidson) ● O jeho práci si budeme povídat
  • 4. Kontrola přístupu ● Token – SIDy uživatelských skupin – Úroveň integrity – Integritní politika – Privilegia ● Deskriptor zabezpečení – DACL (seznam položek): ● Povolit přístup X SIDu Y ● Zakázat přístup X SIDu Y – Úroveň integrity – Integritní politika
  • 5. Odlišnost oprávnění Vlastnost Neprošly UAC dialogem Prošly UAC dialogem Skupina Administrators v DACL Zákaz přístupu Povolení přístupu Zákaz přístupu Úroveň integrity Normální (S-1-16-8192) Vysoká (S-1-16-12188) Zajímavá privilegia NE ANO
  • 6. Hlavní myšlenka ● Vytvořit útočnou knihovnu vhodně vybraného jména ● Dostat ji k některé z aplikací automaticky procházející UAC dialogem (vybrat obětního beránka) – %windir%system32sysprepSysprep.exe – %windir%system32cliconfg.exe – %windir%system32oobesetupsqm.exe – ... ● Tuto aplikaci spustit – Načte útočnou knihovnu – Administrátorská oprávnění
  • 7. Spustitelné soubory ● Formát Portable Executable (PE) ● DLL knihovny, EXE soubory, ovladače (SYS) ● Obsah: – Kód (soubor funkcí a procedur), – Data (globální proměnné, konstanty), – Exportované symboly (podprogramy, proměnné poskytované jiným spustitelným souborům) – Importované symboly (podprogramy a proměnné z jiných knihoven potřené k správnému fungování daného souboru) ● Jméno knihovny neobsahuje cestu
  • 8. Načítání ● Automatické. Knihovna exportuje symboly importované jinou knihovnou, kteoru aplikace chce načíst ● Explicitní. Knihovna je načtena, protože o to aplikace explicitně požádala. ● Líné načtení (delay load). Knihovna je načtena až v okamžiku, kdy aplikace některý z exportovaných symbolů opravdu použije (kombinace obou předchozích). ● Ani v jednom případě se často uvede jen jméno souboru knihovny, ne celá cesta.
  • 9. Prohledávané oblasti Standardní prohledávání Alternativní prohledávání SafeDllSearchMode SafeDllSearchMode Povolen Zakázán Povolen Zakázán Složka aplikace 1 1 Systémový adresář 2 3 2 3 Sys. adresář (16bit) 3 4 3 4 Adresář Windows 4 5 4 5 Aktuální adresář 5 2 5 2 %PATH% 6 6 6 6 Plné jméno souboru 1 1
  • 10. Kopírování k beránkovi ● Beránci obvykle sídlí v systémovém adresáři nebo v jeho podstromě – Zápis vyžaduje administrátorská oprávnění ● Některé procesy mohou i do takových míst kopírovat soubory (ne přepisovat) za využití COM objektu IFileOperation. – Průzkumník Windows (explorer.exe) ● Je třeba je ke kopírování donutit – Injekce kódu
  • 11. Více o výběru beránka ● Seznam aplikací automaticky procházejících UAC dialogem lze najít na internetu ● Nebo tipnout – Podívat se po aplikacích s méně známými názvy v systémovém adresáři či jeho podstromu. ● Spustit vybranou aplikaci a zjistit, jaké DLL knihovny používá a ověřit, které z nich nejsou známé či v manifestu.
  • 12. Ukázka ● Obětní beránek – %windir%system32cliconfg.exe ● Název knihovny – NTWDBLIB.DLL ● Kroky – Vložení knihovny do procesu Průzkumníka – Knihovna zjistí, zda disponuje administrátorskými právy ● Pokud ne, nakopíruje se do systémového adresáře a spustit obětního beránka, počká na jeho ukončení a smaže se. ● Pokud ano, spustí Příkazový řádek a ukončí proces.
  • 13. Obrana ● Používat plné cesty k souborům knihoven + alternativní prohledávání ● Knihovna patří mezí tzv. známé – Klíč registru KnownDlls (KnownDlls32 pro WOW64) ● HKLMSYSTEMCurrentControlSetControlsSession Manager – Knihovny přednačteny, obvykle sídlí v systémovém adresáři ● Plná cesta ke knihovně uvedena v manifestu (součást souboru aplikace) – elementy <file>
  • 14. Příklad obrany manifestem ● Obětní beránek – %windir%system32sysprepsysprep.exe ● V manifestu je napsáno (Windows 8.1): – “Specifically load these DLLs from the specified path. This is done as a defence-in-depth approach to closing a known UAC exploit related to Sysprep.exe being auto-elevated.“ – Ale na shcore.dll zapomněli
  • 15. Reálné zneužití ● Carberp – „open source“ ● GoodKit ● Win32/Tilon (LD) ● WinNT/Pitou (LD) ● WinNT/Simda (ISecurityEditor) ● … (určitě budou i další)
  • 16. Zdroje a zajímavé odkazy ● Leo Davidson – http://www.pretentiousname.com/misc/win7_uac_w hitelist2.html ● UACMe – https://github.com/hfiref0x/UACME ● Kernelmode.info – http://www.kernelmode.info/forum/viewtopic.php? f=11&t=3643
  • 17. ??? ● Email: martin.drab@email.cz ● Web: http://www.jadro-windows.cz ● ICQ: 332970040