Der gute alte utilman-Hack funktioniert fortan nur noch im abgesicherten Modus

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

30.10.2018, aktualisiert 04.11.2018, 17237 Aufrufe, 11 Kommentare, 4 Danke

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor, [edit] jedoch hat man nur begrenzt Zeit, sein Kommando einzutippen, bis auch dort der Defender dazwischenhaut, aber es genügt für eine Zeile allemal.

Ich habe zum Test dann in Windows mal auf die präparierte Utilman.exe geklickt und es kam
capture - Klicke auf das Bild, um es zu vergrößern
Die Erkennung als Win32/AccessibilityEscalation.A scheint seit September in den Signaturen drin zu sein, wenn man dem Datum in der Microsoft-Malwareenzyklopädie folgt.

Witzigerweise verstehen es einige auch falsch und denken, Microsoft würde nun Systemdateien als Viren erkennen :-) face-smile
https://www.borncity.com/blog/2018/09/07/windows-defender-meldet-osk-exe ...
Mitglied: Lochkartenstanzer
30.10.2018 um 09:22 Uhr
Zitat von @DerWoWusste:

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor.


Schade

aber es gibt ja sehr viele Wege nach Rom. Notfalls vom Südpazifik aus (-41.90276041395235, -167.54786961341517) direkt durch den Erdkern, sprich den passenden linux-Tools.

lks
Bitte warten ..
Mitglied: DerWoWusste
30.10.2018 um 09:37 Uhr
Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.
Die Linuxtools versagen ja bei Verschlüsselung.
Bitte warten ..
Mitglied: Lochkartenstanzer
30.10.2018, aktualisiert um 09:44 Uhr
Zitat von @DerWoWusste:

Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.

So wie ich mich kenne, werde ich die Systeme meist erstmal nomal booten, um festzustellen, daß ich abgesichert hätte booten müssen. Ist zwar kein Beinbruch, aber immer ein zusätzlicher Zeitverlust.

Die Linuxtools versagen ja bei Verschlüsselung.

Dafür gibt es dann Tools für WinPE :-) face-smile

lks
Bitte warten ..
Mitglied: C.R.S.
30.10.2018 um 19:50 Uhr
Hm, habe ich erst am Sonntag bei einem voll gepatchten Server 2016 gemacht, um ein lokales Konto zu aktivieren. Vielleicht nur Clients?
Bitte warten ..
Mitglied: DerWoWusste
30.10.2018 um 19:52 Uhr
Who knows. Ist der Defender überhaupt an auf Deinem Server (und upgedated)?
Bitte warten ..
Mitglied: C.R.S.
30.10.2018 um 19:54 Uhr
Ja, Defender ist an und aktuell.
Bitte warten ..
Mitglied: Xanathos79
06.11.2018 um 07:54 Uhr
Hallo zusammen,

ich nehme an, das gleiche wird auch für den "sethc.exe"-Trick gelten?

Grüße
Xanathos79
Bitte warten ..
Mitglied: DerWoWusste
06.11.2018 um 08:40 Uhr
Ja, so ist es. osk.exe ebenso usw.
Bitte warten ..
Mitglied: kgborn
07.01.2019 um 00:15 Uhr
Bin in anderem Zusammenhang mal wieder zu diesem Beitrag gespült worden (in Win 10 19H1 wird das wohl ausgeweitet werden). Was bisher noch zu funktionieren scheint, ist die Freigabe des Build-In-Administrators über die SAM-Registry-Einträge (siehe).
Bitte warten ..
Mitglied: DerWoWusste
07.01.2019, aktualisiert um 08:34 Uhr
Moin kgborn und frohes Neues!

in Win 10 19H1 wird das wohl ausgeweitet werden
was ist damit gemeint?
Bitte warten ..
Mitglied: kgborn
09.01.2019 um 11:37 Uhr
Mir war da ein Tweet unter die Augen gekommen - der auf weitere .exe verwies, die in Windows 10 19H1 wohl auch geblockt werden. Leider finde ich den Tweet nicht mehr. Mal nicht zu hoch hängen - ich denke, dein initialer Beitrag hat das Thema ja aufgewischt. Ich werde es auch mal separat im Blog aufbereiten, da es Viele nicht wissen. Mir ist erst jetzt dein initialer Hinweis auf meinen Blog-Beitrag wieder unter die Augen gekommen und der Groschen ist gefallen ;-) face-wink.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke26 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing26 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 1 TagFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Netzwerke
Verständnisfrage pfSense mit Fritzbox, VLAN und Switch
newbie1Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC. Vorhaben: Fritzbox -> pfSense -> Switch -> Endgeräte Was ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...

Off Topic
Bewerbungsfragen FISI
IT-ProVor 14 StundenFrageOff Topic12 Kommentare

Hi, Ja, der Titel mag etwas komisch klingen. Aber das wird sich in den folgenden Zeilen hoffentlich lösen. Ich habe mich hier gerade durch ...