Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst UAC und Locky

Mitglied: Oberlausitzer

Oberlausitzer (Level 1) - Jetzt verbinden

07.04.2016 um 17:05 Uhr, 1536 Aufrufe, 10 Kommentare

Hallo,

ich bin ein bisschen unklar darüber, ob man die UAC wirklich so einfach aushebeln kann:

Umgebung: Windows 10 Pro 64bit, Benutzer ist Administrator (aber nicht "der" Administrator).

Da gibt's ja ein Youtube-Video wie man über die Aufgabenplanung einen Task mit höchsten Privilegien einfügen (und dann natürlich auch ausführen) kann. Das funktioniert bei mir nicht, weil der Start der Aufgabenplanung bereits Administratorrechte anfordert. Soweit so gut, aber... Man kann ja auch über ein paar Befehle dem task scheduler einen neuen Task aufs Auge drücken - und da kommt keine Abfrage. Das Verbieten des Hinzufügens von neuen Aufgaben über die Policies wirkt auch nicht.

Heißt das nun, dass die UAC völlig sinnfrei ist? Mich nur vor mir selber schützt? Ich kann's nicht glauben.

Vielleicht sieht jemand meinen Denkfehler (hoffentlich).

Danke im Voraus.
Mitglied: Chonta
07.04.2016 um 17:14 Uhr
Hallo,

die Cryptotrojaner brauchen nichtmal Adminrechte. Die verschlüssel alles wo der Nutzer Schreibrechte hat und fertig.
Mit Adminrechten können sie nur noch etwas mehr aber der Schaden ist auch mit weniger Rechten da.

Wenn Du mit lokalen adminrechten die Befehle z.B. lokal über psexec ausführtst kommt keine Abfrage.
Wenn Du lokal eine cmd aufmachst udn diese nicht mit Adminrechten startest, kann die auch nix starten das die Adminrechte nochmal abfragt, bzw. die gestartete Anwendung sollte dann nochmal fragen.

Gib mal am besten ein direcktes Beispiel zum nachvollziehen.

Gruß

Chonta
Bitte warten ..
Mitglied: Oberlausitzer
07.04.2016, aktualisiert um 17:25 Uhr
Hallo,

hier der Originalcode von MS (den ich in einer Konsolenanwendung laufen habe):

using (TaskService ts = new TaskService())
{
TaskDefinition td = ts.NewTask();

td.RegistrationInfo.Description = "Does something";
td.Triggers.Add(new DailyTrigger { DaysInterval = 2 });
td.Actions.Add(new ExecAction("notepad.exe", "c:\\test.log", null));

ts.RootFolder.RegisterTaskDefinition(@"Test", td);
}
Und der tut es auch ohne irgendwelche Kommentare von der Kommandozeile aus. Der Task hat zwar im Beispiel noch keine maximalen Rechte, aber das sollte nur eine Eigenschaft mehr sein (die ich noch nicht gesucht habe).

Grüße
Harald
Bitte warten ..
Mitglied: Oberlausitzer
07.04.2016 um 18:11 Uhr
Hallo,

ich nehm's zurück. Das Hinzufügen mit höchsten Privilegien führt zum "Access Denied". Mir geht's jetzt gleich ein bisschen besser.^^

Bleibt die Frage: Wieso tritt bei dem Beispiel im Youtube-Video, der zu Beginn die UAC-Einstellungen auf die höchste Stufe stellt (so wie es bei mir auch ist), keine Abfrage auf, wenn er die Aufgabenplanung interaktiv öffnen will, aber bei mir? Kann das mit einer anderen Windows 10-Edition (Home) zusammenhängen?

Danke für die Hilfe.

Harald
Bitte warten ..
Mitglied: DerWoWusste
07.04.2016 um 18:31 Uhr
Hi.

Locky und UAC - wo ist der Zusammenhang, kläre uns bitte auf. Locky muss keine UAC aushebeln können, um sein Werk zu tun.
Bitte warten ..
Mitglied: Oberlausitzer
07.04.2016, aktualisiert um 18:52 Uhr
Hi,

jetzt bin ich froh, dass Du mich nicht nach der Versionsnummer von Locky gefragt hast.^^ Aber Locky ist ja nur ein ich sag mal Synonym für eine Vielzahl von Ransom-Angriffen (er merkt sich einfach besser). Guck mal in die c't 8/2016 Seite 46, da stehen ein paar Beispiele, wo die UAC gefordert wird.

Auf meine Frage hattest Du nicht zufällig eine Antwort?
Bitte warten ..
Mitglied: DerWoWusste
07.04.2016, aktualisiert um 23:27 Uhr
Ich fasse mich mal ganz kompakt:
Ist ja schön, sich um die UAC zu sorgen, aber wie die nun arbeitet oder nicht, ist für den Schutz gegen Locky&Co eher nachrangig bs unwichtig - du weißt ja nicht einmal, ob es nun viele Varianten sind, die nur mit bestätigten Adminrechten arbeiten, oder nur wenige, also mach dir dazu keine Gedanken, sondern setze Application Whitelisting um, dann kann Dir das egal sein.

Die UAC ist kein Schutzmechanismus. MS sagt: Wenn ein Bug dazu führt, dass die UAC umgangen werden könnte, dann wäre das keine Sicherheitslücke. Ehrlich, genau das schreiben sie. Und arbeiten solltest Du nicht als Admin, insofern darf die UAC einfach kein zu betrachtendes Kriterium sein - so oder so.
Bitte warten ..
Mitglied: agowa338
09.04.2016 um 04:23 Uhr
Es hat zwar nichts mit Locky zu tun, aber bisher haben (fast?) alle Angriffe auf die UAC nur zum Erfolg geführt, wenn diese nicht auf "Immer Benachrichtigen" gesetzt war, sondern auf der Standardeinstellung belassen wurde.
Bitte warten ..
Mitglied: Oberlausitzer
09.04.2016 um 19:53 Uhr
Das ist im Grunde mein Ansatz. Deshalb war meine Frage, wie man die Aufgabenplanung bei höchster Warnstufe der UAC ohne eben dieses Elevating öffnen kann. Bei mir geht das nämlich nicht.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 10.04.2016, aktualisiert um 08:46 Uhr
Es gibt einen Designfehler in der uac, der einen Bypass zulässt. Dieser besteht in win7 und 8.x, nicht aber in 10. Er hat mit der Stufe der UAC nichts zu tun.
https://social.technet.microsoft.com/Forums/windows/en-US/52b9c450-72f1- ...
Ich hatte damals mitgepostet und Mark Russinovich angeschrieben, der mir sagte: "wird in 10 gefixt, nicht aber in Vorversionen" und so kam es auch.
Bitte warten ..
Mitglied: Oberlausitzer
10.04.2016, aktualisiert um 18:57 Uhr
Danke! Der Thread war etwas heftig aber meine Frage ist erschöpfend beantwortet!

Ich kenne noch die Aussage von Polizisten von früher, wenn der Blinker nicht ging und ich die Hand rausgehalten habe: Was dran ist, muss gehn - 10 M, brauchen Sie ne Quittung? Die UAC scheint mir jetzt (bei Windows 10) das zu tun, was ein "einfacher" Admin erwartet: Den Benutzer drauf hinzuweisen, wenn er Unfug anstellen könnte oder mit alter/miserable designter Software hantiert.
Bitte warten ..
Ähnliche Inhalte
Microsoft

Locky Verschlüsselungstrojaner Vorbeugende Maßnahme

Tipp von MartinStrasserMicrosoft23 Kommentare

Hallo zusammen, zur Zeit ist ja der Locky-Verschlüsselungstrojaner im Umlauf. Hier ein paar kurze Schritte um einen möglichen Befall ...

Microsoft

Programmupdates und UAC

Frage von OliverWMicrosoft1 Kommentar

Hallo zusammen, Ich habe folgendes Problem und hoffe, das ihr mir helfen könnt. Wir haben eine Software, die beim ...

Windows 10

Virus Locky infiziert das Bios ?

gelöst Frage von 1Werner1Windows 104 Kommentare

Moin, ich habe auf einen mit Locky Virus befallenden PC das Windows neu aufgesetzt, und natürlich auch das Programm ...

Sicherheit

Welche Schlüsse nach "Locky" ziehen?

gelöst Frage von intermartySicherheit20 Kommentare

Hallo! Hatte heute die Ehre das ich beim Kunden das erste mal "Locky" miterleben durfte. Kurz zum Setup: 1 ...

Neue Wissensbeiträge
Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 9 StundenAdministrator.de Feedback4 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 4 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...

Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen15 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

Speicherkarten
Multi USB Stick erstellen
Frage von Ghost108Speicherkarten15 Kommentare

Guten Morgen zusammen, ich würde gerne einen Multi USB Stick erstellen (bootmöglichkeit mehrer ISOs), welcher sowohl Legacy als auch ...