Ignorar o UAC usando a Área de Trabalho Remota para se conectar ao host local?

Navegue suas respostas
1

Eu posso usar a Área de Trabalho Remota (RDP) para conectar ao computador B do computador A sem digitar minha senha e vice-versa, porque eu uso a mesma conta nesses dois computadores. Além disso, em uma sessão de área de trabalho remota, posso clicar nos botões de prompt do UAC no computador remoto.

O que está impedindo o malware de ignorar o UAC usando o RDP para se conectar a um computador remoto e usá-lo no RDP (ou apenas usar o RDP para se conectar a localhost ) e clicar no botão yes do UAC?

O malware pode implementar facilmente o próprio protocolo RDP ou apenas iniciar uma sessão RDP e mover o cursor do mouse na sessão RDP.

    
por zzh1996 20.03.2018 / 19:09

1 resposta

1

Você está fazendo a pergunta errada

Lembre-se de que o UAC ajuda a proteger contra códigos maliciosos dando a um usuário com direitos administrativos a opção de negar um processo (potencialmente mal-intencionado) de iniciar a execução na máquina local.

Dito isso, em termos simples, seu cenário de exemplo descreve malware em um computador que aproveita o RDP para ignorar o UAC e iniciar um ataque contra o computador local. Para que esse ataque funcione, o malware já deve estar em execução no computador, tornando os esforços para contornar o UAC totalmente sem sentido.

Portanto, a pergunta correta a ser feita é como o processo mal-intencionado conseguiu ignorar o UAC no Computador A em primeiro lugar.

E o Computador B?

Embora não seja a consulta direta de sua postagem, seu cenário pode funcionar em um ataque contra o Computador B. Permitindo que o Computador A já esteja comprometido, é possível que um programa mal-intencionado inicie uma sessão RDP e envie movimentos ou pressionamentos de tecla para o Computador B , incluindo aqueles necessários para contornar o UAC.

Mas isso não é uma vulnerabilidade de segurança legítima.

Primeiro, o seguinte é o comportamento padrão não no Windows:

I can use RDP (remote desktop) to connect to computer B from computer A without typing my password.

Isso só é possível se você tiver:

  1. Credenciais salvas para o computador remoto (que são armazenadas no Gerenciador de Credenciais) ou
  2. O foi configurada.

Nenhum destes está presente em uma configuração padrão. Vou me referir a ambos como tendo "salvo suas credenciais".

Portanto, a conexão RDP para o Computador B pelo malware só é possível se você tiver salvo suas credenciais no Computador A. Como qualquer código em execução no contexto de sua conta no Computador A pode acessar as credenciais salvas, o ato de salvá-los é o equivalente a declarar, "Eu confio explicitamente em qualquer código atual ou futuro em execução no contexto da minha conta de usuário, incluindo malware."

Ao salvar as credenciais de acesso do Computador B no Computador A, você desabilita o meio do mecanismo de controle de acesso para controlar o acesso ao Computador B (do Computador A, pelo menos). O código que aproveita esse fato não está explorando uma vulnerabilidade no nível do sistema operacional, mas sim uma criada pelo usuário.

    
por 20.03.2018 / 19:58

Tags

Como recuperar um raidz com 3 discos que falharam Excel: Como tornar a guia Página inicial "ficar parado"