Der gute alte utilman-Hack funktioniert fortan nur noch im abgesicherten Modus

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

30.10.2018, aktualisiert 04.11.2018, 17140 Aufrufe, 11 Kommentare, 4 Danke

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor, [edit] jedoch hat man nur begrenzt Zeit, sein Kommando einzutippen, bis auch dort der Defender dazwischenhaut, aber es genügt für eine Zeile allemal.

Ich habe zum Test dann in Windows mal auf die präparierte Utilman.exe geklickt und es kam
capture - Klicke auf das Bild, um es zu vergrößern
Die Erkennung als Win32/AccessibilityEscalation.A scheint seit September in den Signaturen drin zu sein, wenn man dem Datum in der Microsoft-Malwareenzyklopädie folgt.

Witzigerweise verstehen es einige auch falsch und denken, Microsoft würde nun Systemdateien als Viren erkennen :-) face-smile
https://www.borncity.com/blog/2018/09/07/windows-defender-meldet-osk-exe ...
Mitglied: Lochkartenstanzer
30.10.2018 um 09:22 Uhr
Zitat von @DerWoWusste:

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor.


Schade

aber es gibt ja sehr viele Wege nach Rom. Notfalls vom Südpazifik aus (-41.90276041395235, -167.54786961341517) direkt durch den Erdkern, sprich den passenden linux-Tools.

lks
Bitte warten ..
Mitglied: DerWoWusste
30.10.2018 um 09:37 Uhr
Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.
Die Linuxtools versagen ja bei Verschlüsselung.
Bitte warten ..
Mitglied: Lochkartenstanzer
30.10.2018, aktualisiert um 09:44 Uhr
Zitat von @DerWoWusste:

Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.

So wie ich mich kenne, werde ich die Systeme meist erstmal nomal booten, um festzustellen, daß ich abgesichert hätte booten müssen. Ist zwar kein Beinbruch, aber immer ein zusätzlicher Zeitverlust.

Die Linuxtools versagen ja bei Verschlüsselung.

Dafür gibt es dann Tools für WinPE :-) face-smile

lks
Bitte warten ..
Mitglied: C.R.S.
30.10.2018 um 19:50 Uhr
Hm, habe ich erst am Sonntag bei einem voll gepatchten Server 2016 gemacht, um ein lokales Konto zu aktivieren. Vielleicht nur Clients?
Bitte warten ..
Mitglied: DerWoWusste
30.10.2018 um 19:52 Uhr
Who knows. Ist der Defender überhaupt an auf Deinem Server (und upgedated)?
Bitte warten ..
Mitglied: C.R.S.
30.10.2018 um 19:54 Uhr
Ja, Defender ist an und aktuell.
Bitte warten ..
Mitglied: Xanathos79
06.11.2018 um 07:54 Uhr
Hallo zusammen,

ich nehme an, das gleiche wird auch für den "sethc.exe"-Trick gelten?

Grüße
Xanathos79
Bitte warten ..
Mitglied: DerWoWusste
06.11.2018 um 08:40 Uhr
Ja, so ist es. osk.exe ebenso usw.
Bitte warten ..
Mitglied: kgborn
07.01.2019 um 00:15 Uhr
Bin in anderem Zusammenhang mal wieder zu diesem Beitrag gespült worden (in Win 10 19H1 wird das wohl ausgeweitet werden). Was bisher noch zu funktionieren scheint, ist die Freigabe des Build-In-Administrators über die SAM-Registry-Einträge (siehe).
Bitte warten ..
Mitglied: DerWoWusste
07.01.2019, aktualisiert um 08:34 Uhr
Moin kgborn und frohes Neues!

in Win 10 19H1 wird das wohl ausgeweitet werden
was ist damit gemeint?
Bitte warten ..
Mitglied: kgborn
09.01.2019 um 11:37 Uhr
Mir war da ein Tweet unter die Augen gekommen - der auf weitere .exe verwies, die in Windows 10 19H1 wohl auch geblockt werden. Leider finde ich den Tweet nicht mehr. Mal nicht zu hoch hängen - ich denke, dein initialer Beitrag hat das Thema ja aufgewischt. Ich werde es auch mal separat im Blog aufbereiten, da es Viele nicht wissen. Mir ist erst jetzt dein initialer Hinweis auf meinen Blog-Beitrag wieder unter die Augen gekommen und der Groschen ist gefallen ;-) face-wink.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 23 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Windows 10
Was ist zu wenig
ukulele-7Vor 9 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 13 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...