Trusted Design

T1088 - Bypass User Account Control

概要

Windows User Account Control (UAC) allows a program to elevate its privileges to perform a task under administrator-level permissions by prompting the user for confirmation. The impact to the user ranges from denying the operation under high enforcement to allowing the user to perform the action if they are in the local administrators group and click through the prompt or allowing them to enter an administrator password to complete the action. (Citation: TechNet How UAC Works)

If the UAC protection level of a computer is set to anything but the highest level, certain Windows programs are allowed to elevate privileges or execute some elevated COM objects without prompting the user through the UAC notification box. (Citation: TechNet Inside UAC) (Citation: MSDN COM Elevation) An example of this is use of rundll32.exe to load a specifically crafted DLL which loads an auto-elevated COM object and performs a file operation in a protected directory which would typically require elevated access. Malicious software may also be injected into a trusted process to gain elevated privileges without prompting a user. (Citation: Davidson Windows) Adversaries can use these techniques to elevate privileges to administrator if the target process is unprotected.

Many methods have been discovered to bypass UAC. The Github readme page for UACMe contains an extensive list of methods (Citation: Github UACMe) that have been discovered and implemented within UACMe, but may not be a comprehensive list of bypasses. Additional bypass methods are regularly discovered and some used in the wild, such as:

• eventvwr.exe can auto-elevate and execute a specified binary or script. (Citation: enigma0x3 Fileless UAC Bypass) (Citation: Fortinet Fareit)

Another bypass is possible through some Lateral Movement techniques if credentials for an account with administrator privileges are known, since UAC is a single system security mechanism, and the privilege or integrity of a process running on one system will be unknown on lateral systems and default to high integrity. (Citation: SANS UAC Bypass)

管理者によるコメント

T1088「Bypass User Account Control」（UACバイパス） は、Windowsのセキュリティ機能である「UAC」を回避し、管理者権限を取得する非常に一般的な手法です。

1. 概要

UAC（ユーザーアカウント制御）は、プログラムが管理者権限を必要とする際に、ユーザーに許可を求めるダイアログ（「はい/いいえ」の確認）を表示する機能です。

• 何を実現できるのか: 攻撃者は、ユーザーに警告ダイアログを表示させることなく、一般ユーザー権限から管理者権限（特権）へと昇格（Privilege Escalation）できます。
• 権限の掌握: 管理者権限を得ることで、セキュリティソフトの停止、パスワードハッシュの窃取、システムの深部へのマルウェア埋め込みなどが可能になります。

2. 攻撃の流れ

多くのUACバイパス手法は、Windowsの「自動昇格（Auto-elevate）」という仕様を悪用します。

1. ターゲットの特定: 署名済みの正規ツール（例：eventvwr.exe や sdclt.exe）の中で、UACダイアログを出さずに自動で管理者権限に昇格する実行ファイルを探します。
2. レジストリやパスの操作: これらの正規ツールが起動時に読み込む「レジストリ値」や「DLLのパス」を、攻撃者が用意したコマンドや悪意のあるDLLに書き換えます。
3. 正規ツールの実行: 攻撃者がその正規ツールを起動します。
4. コードの実行: システムは「信頼されたツール」と判断して管理者権限を与えますが、実際には書き換えられたレジストリやDLLを通じて、攻撃者のコードが管理者権限で実行されます。

3. 防御・対策

UACは本来「利便性とセキュリティの両立」を狙った機能であり、完全な防壁ではないことを理解する必要があります。

• UACレベルを「常に通知する」に設定: デフォルトの「プログラムがコンピュータに変更を加えようとする場合のみ通知する」設定では、一部の自動昇格が許可されてしまいます。「常に通知する（Always Notify）」にすることで、バイパスを困難にできます。
• 特権アカウントの利用制限: 日常業務には一般ユーザー権限を使い、管理者権限（Domain Adminなど）でのログインを最小限にします。
• レジストリ監視: HKCU\Software\Classes などの、UACバイパスによく悪用されるレジストリキーへの書き込みを監視・制限します。
• EDRによる異常検知: 正規のシステムツールが、不自然な子プロセス（cmd.exe や powershell.exe）を起動していないか監視します。

4. 重要ポイント

• 「仕様」の悪用: 多くの場合、プログラムのバグではなく、Windowsの便利な機能（自動昇格）の隙間を突く攻撃です。
• 多種多様な手法: UACバイパスには数十種類以上の手法が存在し、オープンソースのツール（例：UAC-Me）などで自動化されています。
• 管理者グループへの所属が前提: この手法は「管理者グループに属しているが、現在は一般権限で動いているユーザー」が対象です。完全な一般ユーザー（Standard User）がこれだけで管理者になることはできません。

5. 関連する主なCWE

• CWE-269: Improper Privilege Management (不適切な権限管理): ユーザーに与えられた権限を、意図しない方法で引き上げることができてしまう状態。
• CWE-284: Improper Access Control (不適切なアクセス制御): 本来制限されるべきリソース（管理者権限）へのアクセスが制御できていない。

6. 関連する代表的なCVE

UACバイパスは、OSのアップデートによって対策されることが多いため、特定のCVE番号が割り振られることがあります。多くの場合、具体的なCVEがなくても、レジストリの書き換えなどの「テクニック」だけでバイパスが成立してしまう点がこの手法の怖さです。

• CVE-2019-1388: Windows証明書ダイアログの脆弱性を利用したUACバイパス。古いWindows環境で猛威を振るいました。
• CVE-2020-1537: Windowsのサービスホストにおける権限昇格の脆弱性。
• CVE-2022-26904: User Profile Serviceにおける不備を利用した、高度な権限昇格手法。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る