# AN0975 — Analytic 0975 ## Descrição Este analítico detecta bypass de UAC no Windows correlacionando modificações de chaves de Registro relacionadas ao UAC (como `HKCU\Software\Classes\ms-settings`), relações incomuns de processos pai-filho (ex.: `control.exe` gerando `cmd.exe`) e execuções de processos elevados não assinados com tokens ou flags de elevação não padrão. A telemetria utilizada inclui eventos de modificação de Registro (Sysmon EID 13), eventos de criação de processos com nível de integridade (EID 4688) e eventos de token de acesso (EID 4703/4672). A detecção é crítica porque o bypass de UAC é um pré-requisito frequente para escalada de privilégios local em ataques que comprometem usuários com contas administrativas no Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0975](https://attack.mitre.org/detectionstrategies/DET0345#AN0975)*