10
UAC und Locky
Hallo,
ich bin ein bisschen unklar darüber, ob man die UAC wirklich so einfach aushebeln kann:
Umgebung: Windows 10 Pro 64bit, Benutzer ist Administrator (aber nicht "der" Administrator).
Da gibt's ja ein Youtube-Video wie man über die Aufgabenplanung einen Task mit höchsten Privilegien einfügen (und dann natürlich auch ausführen) kann. Das funktioniert bei mir nicht, weil der Start der Aufgabenplanung bereits Administratorrechte anfordert. Soweit so gut, aber... Man kann ja auch über ein paar Befehle dem task scheduler einen neuen Task aufs Auge drücken - und da kommt keine Abfrage. Das Verbieten des Hinzufügens von neuen Aufgaben über die Policies wirkt auch nicht.
Heißt das nun, dass die UAC völlig sinnfrei ist? Mich nur vor mir selber schützt? Ich kann's nicht glauben.
Vielleicht sieht jemand meinen Denkfehler (hoffentlich).
Danke im Voraus.
ich bin ein bisschen unklar darüber, ob man die UAC wirklich so einfach aushebeln kann:
Umgebung: Windows 10 Pro 64bit, Benutzer ist Administrator (aber nicht "der" Administrator).
Da gibt's ja ein Youtube-Video wie man über die Aufgabenplanung einen Task mit höchsten Privilegien einfügen (und dann natürlich auch ausführen) kann. Das funktioniert bei mir nicht, weil der Start der Aufgabenplanung bereits Administratorrechte anfordert. Soweit so gut, aber... Man kann ja auch über ein paar Befehle dem task scheduler einen neuen Task aufs Auge drücken - und da kommt keine Abfrage. Das Verbieten des Hinzufügens von neuen Aufgaben über die Policies wirkt auch nicht.
Heißt das nun, dass die UAC völlig sinnfrei ist? Mich nur vor mir selber schützt? Ich kann's nicht glauben.
Vielleicht sieht jemand meinen Denkfehler (hoffentlich).
Danke im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 301194
Url: https://administrator.de/contentid/301194
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
die Cryptotrojaner brauchen nichtmal Adminrechte. Die verschlüssel alles wo der Nutzer Schreibrechte hat und fertig.
Mit Adminrechten können sie nur noch etwas mehr aber der Schaden ist auch mit weniger Rechten da.
Wenn Du mit lokalen adminrechten die Befehle z.B. lokal über psexec ausführtst kommt keine Abfrage.
Wenn Du lokal eine cmd aufmachst udn diese nicht mit Adminrechten startest, kann die auch nix starten das die Adminrechte nochmal abfragt, bzw. die gestartete Anwendung sollte dann nochmal fragen.
Gib mal am besten ein direcktes Beispiel zum nachvollziehen.
Gruß
Chonta
die Cryptotrojaner brauchen nichtmal Adminrechte. Die verschlüssel alles wo der Nutzer Schreibrechte hat und fertig.
Mit Adminrechten können sie nur noch etwas mehr aber der Schaden ist auch mit weniger Rechten da.
Wenn Du mit lokalen adminrechten die Befehle z.B. lokal über psexec ausführtst kommt keine Abfrage.
Wenn Du lokal eine cmd aufmachst udn diese nicht mit Adminrechten startest, kann die auch nix starten das die Adminrechte nochmal abfragt, bzw. die gestartete Anwendung sollte dann nochmal fragen.
Gib mal am besten ein direcktes Beispiel zum nachvollziehen.
Gruß
Chonta
Hallo,
hier der Originalcode von MS (den ich in einer Konsolenanwendung laufen habe):
using (TaskService ts = new TaskService())
{
TaskDefinition td = ts.NewTask();
td.RegistrationInfo.Description = "Does something";
td.Triggers.Add(new DailyTrigger { DaysInterval = 2 });
td.Actions.Add(new ExecAction("notepad.exe", "c:\\test.log", null));
ts.RootFolder.RegisterTaskDefinition(@"Test", td);
}
Und der tut es auch ohne irgendwelche Kommentare von der Kommandozeile aus. Der Task hat zwar im Beispiel noch keine maximalen Rechte, aber das sollte nur eine Eigenschaft mehr sein (die ich noch nicht gesucht habe).
Grüße
Harald
hier der Originalcode von MS (den ich in einer Konsolenanwendung laufen habe):
using (TaskService ts = new TaskService())
{
TaskDefinition td = ts.NewTask();
td.RegistrationInfo.Description = "Does something";
td.Triggers.Add(new DailyTrigger { DaysInterval = 2 });
td.Actions.Add(new ExecAction("notepad.exe", "c:\\test.log", null));
ts.RootFolder.RegisterTaskDefinition(@"Test", td);
}
Und der tut es auch ohne irgendwelche Kommentare von der Kommandozeile aus. Der Task hat zwar im Beispiel noch keine maximalen Rechte, aber das sollte nur eine Eigenschaft mehr sein (die ich noch nicht gesucht habe).
Grüße
Harald
Hallo,
ich nehm's zurück. Das Hinzufügen mit höchsten Privilegien führt zum "Access Denied". Mir geht's jetzt gleich ein bisschen besser.^^
Bleibt die Frage: Wieso tritt bei dem Beispiel im Youtube-Video, der zu Beginn die UAC-Einstellungen auf die höchste Stufe stellt (so wie es bei mir auch ist), keine Abfrage auf, wenn er die Aufgabenplanung interaktiv öffnen will, aber bei mir? Kann das mit einer anderen Windows 10-Edition (Home) zusammenhängen?
Danke für die Hilfe.
Harald
ich nehm's zurück. Das Hinzufügen mit höchsten Privilegien führt zum "Access Denied". Mir geht's jetzt gleich ein bisschen besser.^^
Bleibt die Frage: Wieso tritt bei dem Beispiel im Youtube-Video, der zu Beginn die UAC-Einstellungen auf die höchste Stufe stellt (so wie es bei mir auch ist), keine Abfrage auf, wenn er die Aufgabenplanung interaktiv öffnen will, aber bei mir? Kann das mit einer anderen Windows 10-Edition (Home) zusammenhängen?
Danke für die Hilfe.
Harald
Hi.
Locky und UAC - wo ist der Zusammenhang, kläre uns bitte auf. Locky muss keine UAC aushebeln können, um sein Werk zu tun.
Locky und UAC - wo ist der Zusammenhang, kläre uns bitte auf. Locky muss keine UAC aushebeln können, um sein Werk zu tun.
Hi,
jetzt bin ich froh, dass Du mich nicht nach der Versionsnummer von Locky gefragt hast.^^ Aber Locky ist ja nur ein ich sag mal Synonym für eine Vielzahl von Ransom-Angriffen (er merkt sich einfach besser). Guck mal in die c't 8/2016 Seite 46, da stehen ein paar Beispiele, wo die UAC gefordert wird.
Auf meine Frage hattest Du nicht zufällig eine Antwort?
jetzt bin ich froh, dass Du mich nicht nach der Versionsnummer von Locky gefragt hast.^^ Aber Locky ist ja nur ein ich sag mal Synonym für eine Vielzahl von Ransom-Angriffen (er merkt sich einfach besser). Guck mal in die c't 8/2016 Seite 46, da stehen ein paar Beispiele, wo die UAC gefordert wird.
Auf meine Frage hattest Du nicht zufällig eine Antwort?
Ich fasse mich mal ganz kompakt:
Ist ja schön, sich um die UAC zu sorgen, aber wie die nun arbeitet oder nicht, ist für den Schutz gegen Locky&Co eher nachrangig bs unwichtig - du weißt ja nicht einmal, ob es nun viele Varianten sind, die nur mit bestätigten Adminrechten arbeiten, oder nur wenige, also mach dir dazu keine Gedanken, sondern setze Application Whitelisting um, dann kann Dir das egal sein.
Die UAC ist kein Schutzmechanismus. MS sagt: Wenn ein Bug dazu führt, dass die UAC umgangen werden könnte, dann wäre das keine Sicherheitslücke. Ehrlich, genau das schreiben sie. Und arbeiten solltest Du nicht als Admin, insofern darf die UAC einfach kein zu betrachtendes Kriterium sein - so oder so.
Ist ja schön, sich um die UAC zu sorgen, aber wie die nun arbeitet oder nicht, ist für den Schutz gegen Locky&Co eher nachrangig bs unwichtig - du weißt ja nicht einmal, ob es nun viele Varianten sind, die nur mit bestätigten Adminrechten arbeiten, oder nur wenige, also mach dir dazu keine Gedanken, sondern setze Application Whitelisting um, dann kann Dir das egal sein.
Die UAC ist kein Schutzmechanismus. MS sagt: Wenn ein Bug dazu führt, dass die UAC umgangen werden könnte, dann wäre das keine Sicherheitslücke. Ehrlich, genau das schreiben sie. Und arbeiten solltest Du nicht als Admin, insofern darf die UAC einfach kein zu betrachtendes Kriterium sein - so oder so.
Es hat zwar nichts mit Locky zu tun, aber bisher haben (fast?) alle Angriffe auf die UAC nur zum Erfolg geführt, wenn diese nicht auf "Immer Benachrichtigen" gesetzt war, sondern auf der Standardeinstellung belassen wurde.
Das ist im Grunde mein Ansatz. Deshalb war meine Frage, wie man die Aufgabenplanung bei höchster Warnstufe der UAC ohne eben dieses Elevating öffnen kann. Bei mir geht das nämlich nicht.
Es gibt einen Designfehler in der uac, der einen Bypass zulässt. Dieser besteht in win7 und 8.x, nicht aber in 10. Er hat mit der Stufe der UAC nichts zu tun.
https://social.technet.microsoft.com/Forums/windows/en-US/52b9c450-72f1- ...
Ich hatte damals mitgepostet und Mark Russinovich angeschrieben, der mir sagte: "wird in 10 gefixt, nicht aber in Vorversionen" und so kam es auch.
https://social.technet.microsoft.com/Forums/windows/en-US/52b9c450-72f1- ...
Ich hatte damals mitgepostet und Mark Russinovich angeschrieben, der mir sagte: "wird in 10 gefixt, nicht aber in Vorversionen" und so kam es auch.
Danke! Der Thread war etwas heftig aber meine Frage ist erschöpfend beantwortet!
Ich kenne noch die Aussage von Polizisten von früher, wenn der Blinker nicht ging und ich die Hand rausgehalten habe: Was dran ist, muss gehn - 10 M, brauchen Sie ne Quittung? Die UAC scheint mir jetzt (bei Windows 10) das zu tun, was ein "einfacher" Admin erwartet: Den Benutzer drauf hinzuweisen, wenn er Unfug anstellen könnte oder mit alter/miserable designter Software hantiert.
Ich kenne noch die Aussage von Polizisten von früher, wenn der Blinker nicht ging und ich die Hand rausgehalten habe: Was dran ist, muss gehn - 10 M, brauchen Sie ne Quittung? Die UAC scheint mir jetzt (bei Windows 10) das zu tun, was ein "einfacher" Admin erwartet: Den Benutzer drauf hinzuweisen, wenn er Unfug anstellen könnte oder mit alter/miserable designter Software hantiert.
