Introduccion a UAC

UAC se utiliza para permitir a un usuario administrador dar privilegios de administrador a cada proceso ejecutado. Esto se consigue utilizando por defecto el token de bajo privilegio del usuario. Cuando, el administrador ejecuta algún proceso como administrador, se realiza una elevación de UAC y si se completa con éxito, el token privilegiado se utiliza para crear el proceso.

Enlace de referencia:

Validación del UAC

Primero hay que comprobar el valor de la clave EnableLUA, si es 1 entonces el UAC está activado, si es cero o no existe, entonces el UAC está inactivo.

Debemos enfocarnos en validar el valor de la clave ConsentPromptBehaviorAdmin.

• Si es cero entonces, UAC no se iniciará al abrir un programa como administrador (como deshabilitado).

• Si es 1, se le solicitara al administrador por el nombre de usuario y la contraseña para ejecutar el binario con altos derechos (en RDP).

• Si es 2 (Siempre se desplegará el UAC) UAC siempre pedirá confirmación al administrador cuando intente ejecutar algo con altos privilegios (en RDP).

• Si es 3, como 1 pero no es necesario en RDP.

• Si es 4, como 2 pero no es necesario en RDP.

• Si es 5 (por defecto) pedirá confirmación al administrador para ejecutar binarios no Windows con altos privilegios.

Tenga en cuenta que, si tiene acceso gráfico a la víctima, la evasión del UAC es sencilla, ya que simplemente puede hacer clic en "Sí" cuando aparezca el aviso del UAC.