Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Der gute alte utilman-Hack funktioniert fortan nur noch im abgesicherten Modus

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

30.10.2018, aktualisiert 04.11.2018, 9744 Aufrufe, 11 Kommentare, 4 Danke

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor, [edit] jedoch hat man nur begrenzt Zeit, sein Kommando einzutippen, bis auch dort der Defender dazwischenhaut, aber es genügt für eine Zeile allemal.

Ich habe zum Test dann in Windows mal auf die präparierte Utilman.exe geklickt und es kam
capture - Klicke auf das Bild, um es zu vergrößern
Die Erkennung als Win32/AccessibilityEscalation.A scheint seit September in den Signaturen drin zu sein, wenn man dem Datum in der Microsoft-Malwareenzyklopädie folgt.

Witzigerweise verstehen es einige auch falsch und denken, Microsoft würde nun Systemdateien als Viren erkennen
https://www.borncity.com/blog/2018/09/07/windows-defender-meldet-osk-exe ...
Mitglied: Lochkartenstanzer
30.10.2018 um 09:22 Uhr
Zitat von DerWoWusste:

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor.


Schade

aber es gibt ja sehr viele Wege nach Rom. Notfalls vom Südpazifik aus (-41.90276041395235, -167.54786961341517) direkt durch den Erdkern, sprich den passenden linux-Tools.

lks
Bitte warten ..
Mitglied: DerWoWusste
30.10.2018 um 09:37 Uhr
Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.
Die Linuxtools versagen ja bei Verschlüsselung.
Bitte warten ..
Mitglied: Lochkartenstanzer
30.10.2018, aktualisiert um 09:44 Uhr
Zitat von DerWoWusste:

Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.

So wie ich mich kenne, werde ich die Systeme meist erstmal nomal booten, um festzustellen, daß ich abgesichert hätte booten müssen. Ist zwar kein Beinbruch, aber immer ein zusätzlicher Zeitverlust.

Die Linuxtools versagen ja bei Verschlüsselung.

Dafür gibt es dann Tools für WinPE

lks
Bitte warten ..
Mitglied: C.R.S.
30.10.2018 um 19:50 Uhr
Hm, habe ich erst am Sonntag bei einem voll gepatchten Server 2016 gemacht, um ein lokales Konto zu aktivieren. Vielleicht nur Clients?
Bitte warten ..
Mitglied: DerWoWusste
30.10.2018 um 19:52 Uhr
Who knows. Ist der Defender überhaupt an auf Deinem Server (und upgedated)?
Bitte warten ..
Mitglied: C.R.S.
30.10.2018 um 19:54 Uhr
Ja, Defender ist an und aktuell.
Bitte warten ..
Mitglied: Xanathos79
06.11.2018 um 07:54 Uhr
Hallo zusammen,

ich nehme an, das gleiche wird auch für den "sethc.exe"-Trick gelten?

Grüße
Xanathos79
Bitte warten ..
Mitglied: DerWoWusste
06.11.2018 um 08:40 Uhr
Ja, so ist es. osk.exe ebenso usw.
Bitte warten ..
Mitglied: kgborn
07.01.2019 um 00:15 Uhr
Bin in anderem Zusammenhang mal wieder zu diesem Beitrag gespült worden (in Win 10 19H1 wird das wohl ausgeweitet werden). Was bisher noch zu funktionieren scheint, ist die Freigabe des Build-In-Administrators über die SAM-Registry-Einträge (siehe).
Bitte warten ..
Mitglied: DerWoWusste
07.01.2019, aktualisiert um 08:34 Uhr
Moin kgborn und frohes Neues!

in Win 10 19H1 wird das wohl ausgeweitet werden
was ist damit gemeint?
Bitte warten ..
Mitglied: kgborn
09.01.2019 um 11:37 Uhr
Mir war da ein Tweet unter die Augen gekommen - der auf weitere .exe verwies, die in Windows 10 19H1 wohl auch geblockt werden. Leider finde ich den Tweet nicht mehr. Mal nicht zu hoch hängen - ich denke, dein initialer Beitrag hat das Thema ja aufgewischt. Ich werde es auch mal separat im Blog aufbereiten, da es Viele nicht wissen. Mir ist erst jetzt dein initialer Hinweis auf meinen Blog-Beitrag wieder unter die Augen gekommen und der Groschen ist gefallen .
Bitte warten ..
Ähnliche Inhalte
Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7Hardware4 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Informationsdienste

Gut getarnter Trojaner unterwegs (Emotet)

Information von nepixlInformationsdienste4 Kommentare

Hallo, quick & dirty: ein neuer Cryptotrojaner sorgt wieder für Millionenschäden. BSI Artikel Heise Artikel Der Trojaner kommt in ...

Datenschutz

The Great Hack bei Netflix: NZZ Review

Tipp von PeterGygerDatenschutz2 Kommentare

Hallo Netflix hat eine Doku zu "Cambrige Analytica" herausgebracht. Ein wirklich spannender Thriller, der weit über die US Wahlen ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transoceanViren und Trojaner7 Kommentare

Moin, lest selbst. Grüße Uwe

Neue Wissensbeiträge
Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 1 TagNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 1 TagMicrosoft1 Kommentar

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 3 TagenHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 3 TagenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Heiß diskutierte Inhalte
Router & Routing
Suche Router der von einem Ethernet ein WLAN erzeugt
gelöst Frage von cdkurtRouter & Routing25 Kommentare

Hallo, ich bin auf der Suche nach einem Wlan Router/ Access Point der sich in einem Heim / Hotel ...

Utilities
Motherboard mit zwei Ethernet Adapter.?
Frage von Sibelius001Utilities17 Kommentare

Hallo, ist bestimmt eine "Dummy" Frage, die hier bestimmt schon x-mal diskutiert wurde (Dafür bitte ich mal vorab um ...

Sicherheitsgrundlagen
Frage zur allgemeinen Netzwerksicherheit
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen15 Kommentare

Guten Tag zusammen, in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der ...

Netzwerkgrundlagen
Anfänger-Plan für ein Heimnetzwerk mit Opnsense
gelöst Frage von scriptoriusNetzwerkgrundlagen13 Kommentare

Hallo, ich plane, mein Netzwerk zu Hause umzugestalten. Ich habe einen Glasfaser-Anschluss (Deutsche Glasfaser). In meinem Netzwerk befinden sich ...