¿Sabes qué es el UAC Bypass? El UAC (User Account Control) es un mecanismo de seguridad implementado por Microsoft en sistemas Windows, con el objetivo de ayudar a los usuarios a controlar la autorización de los programas que van a ejecutarse o los cambios que se van a realizar en el equipo. Con este método se pretende mitigar el impacto del malware en el sistema.
¿Qué es el UAC Bypass?
El UAC Bypass (Bypass de Control de Cuentas de Usuario) hace referencia a unas técnicas utilizadas para evadir o eludir las medidas de seguridad del Control de Cuentas de Usuario en sistemas operativos Windows. El Control de Cuentas de Usuario es una característica introducida en Windows Vista y versiones posteriores para ayudar a proteger el sistema operativo. Para ello, requiere permisos de administrador o confirmación del usuario antes de ejecutar ciertas acciones o aplicaciones que pueden afectar a la seguridad o configuración del sistema.
El objetivo del UAC Bypass es evadir estas medidas de seguridad y obtener privilegios elevados en un sistema sin la interacción o aprobación del usuario. Los atacantes pueden utilizar diferentes técnicas para lograrlo, como la explotación de vulnerabilidades en aplicaciones o el sistema operativo, la manipulación de configuraciones o permisos o la ejecución de comandos o scripts maliciosos.
Es importante destacar que el UAC Bypass es una técnica utilizada principalmente por atacantes malintencionados para realizar actividades maliciosas en un sistema sin ser detectados. Sin embargo, también puede utilizarse con fines legítimos, por ejemplo por investigadores de seguridad para probar la eficacia de las medidas de seguridad o en situaciones donde es necesario realizar cambios en la configuración del sistema, así como en pruebas y ejercicios Red Team.
¿Cómo funciona el UAC Bypass?
UAC está presente en sistemas Windows desde Vista o Server 2008 y son múltiples las técnicas que han salido desde entonces para llevar a cabo esta medida de seguridad. Dos de las técnicas más habituales son el uso de DLL Hijacking, pues si un binario firmado por Microsoft está afectado, se podría inyectar código malicioso saltando UAC, y técnicas Fileless, que permiten interactuar con el registro para desarrollar el UAC Bypass.
Entre los proyectos que engloban una gran cantidad de estas técnicas, está el UACMe.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl funcionamiento del UAC Bypass puede variar según la técnica utilizada, pero aquí hay una descripción general de cómo puede funcionar en términos generales:
- Identificación de la debilidad: una vez hecho esto, a los atacantes se les permitirá evadir las medidas de seguridad del Control de Cuentas de Usuario.
- Explotación de la debilidad: puede implicar la manipulación de archivos, la inyección de código malicioso, el uso de rutas de archivo confiables o la explotación de vulnerabilidades de día cero, entre otros métodos.
- Elevación de privilegios: mediante la explotación de la debilidad, los atacantes logran obtener privilegios elevados en el sistema sin el consentimiento o conocimiento del usuario.
- Ejecución de acciones maliciosas: pueden incluir instalar software no autorizado, robar información confidencial, modificar la configuración del sistema o ejecutar comandos perjudiciales.
Técnicas de UAC Bypass
- DLL Hijacking: consiste en reemplazar una biblioteca de enlace dinámico (DLL) legítima con una DLL maliciosa que se carga y ejecuta cuando una aplicación legítima solicita la DLL correspondiente.
- Ataques de inyección de código: estos ataques aprovechan vulnerabilidades en aplicaciones específicas para inyectar código malicioso en el proceso de la aplicación y ejecutarlo con privilegios elevados.
- Manipulación de rutas de archivo: al manipular esas rutas de archivo y colocar archivos maliciosos en ubicaciones confiables, se puede engañar al sistema para que ejecute el archivo malicioso con privilegios elevados.
- Uso de tareas programadas: al crear o manipular tareas programadas en el sistema, es posible configurarlas para ejecutar comandos o scripts maliciosos con privilegios elevados en un momento determinado.
- Explotación de vulnerabilidades del sistema operativo: al encontrar y aprovechar vulnerabilidades de día cero o debilidades en el propio sistema operativo, los atacantes pueden obtener acceso y privilegios elevados sin ser detectados.
¿Quieres seguir aprendiendo?
El UAC Bypass puede sernos de utilidad en nuestros ejercicios Red Team, una vez aprendemos a usar dicha técnica. Ahora, si quieres aprender mucho más sobre ciberseguridad para acceder a sistemas de manera segura, échale un ojo a nuestro Ciberseguridad Full Stack Bootcamp. Con esta formación intensiva e íntegra, nuestros profesores expertos en el sector IT te enseñarán todo lo necesario a nivel tanto teórico como práctico para ayudarte a destacar en el mercado laboral en cuestión de meses. ¡Entra ahora para pedir más información y da el paso que te cambiará la vida!