# M1052 — User Account Control ## Descrição O User Account Control (UAC) é um recurso de segurança do Microsoft Windows que previne alterações não autorizadas no sistema operacional. O UAC solicita que os usuários confirmem ou forneçam credenciais de administrador quando uma ação requer privilégios elevados. A configuração adequada do UAC reduz o risco de ataques de escalada de privilégios. Esta mitigação pode ser implementada por meio das seguintes medidas: Habilitar UAC Globalmente: - Garantir que o UAC esteja habilitado via Group Policy, configurando `User Account Control: Run all administrators in Admin Approval Mode` como `Enabled`. Exigir Prompt de Credenciais: - Usar Group Policy para configurar o UAC a solicitar credenciais administrativas em vez de apenas confirmação (`User Account Control: Behavior of the elevation prompt`). Restringir Conta de Administrador Built-in: Definir `Admin Approval Mode` para a conta de Administrador built-in como `Enabled` no Group Policy. Proteger o Prompt do UAC: - Configurar prompts do UAC para serem exibidos na área de trabalho segura (`User Account Control: Switch to the secure desktop when prompting for elevation`). Prevenir Bypass do UAC: - Bloquear aplicações não confiáveis de acionar prompts do UAC configurando `User Account Control: Only elevate executables that are signed and válidated`. - Usar ferramentas EDR para detectar e bloquear técnicas conhecidas de bypass do UAC. Monitorar Eventos Relacionados ao UAC: - Usar o Windows Event Viewer para monitorar o event ID 4688 (criação de processo) e procurar processos suspeitos tentando invocar elevação do UAC. *Ferramentas para Implementação* Ferramentas Nativas do Windows: - Group Policy Editor: Configurar definições de UAC centralmente para ambientes corporativos. - Registry Editor: Modificar configurações relacionadas ao UAC diretamente, como `EnableLUA` e `ConsentPromptBehaviorAdmin`. Soluções de Segurança de Endpoint: - Microsoft Defender for Endpoint: Detecta e bloqueia técnicas de bypass do UAC. - Sysmon: Registra criações de processos e monitora tentativas de elevação do UAC para atividades suspeitas. Ferramentas de Segurança de Terceiros: - Process Monitor (Sysinternals): Rastreia processos em tempo real interagindo com o UAC. - EventSentry: Monitora Windows Event Logs para alertas relacionados ao UAC. ## Fluxo de Implementação ```mermaid graph TB A["Habilitar UAC Globalmente<br/>Admin Approval Mode via GPO"] --> B["Configurar Prompt Seguro<br/>Secure desktop para elevação"] B --> C["Restringir Conta Admin<br/>Built-in admin com UAC ativo"] C --> D["Bloquear Bypass UAC<br/>Apenas executáveis assinados"] D --> E["Monitorar Event ID 4688<br/>Processos tentando elevação"] ``` ## Contexto LATAM > [!globe] Relevância Regional > O UAC é uma linha de defesa crítica no Windows contra técnicas de escalada de privilégios amplamente usadas em ataques no Brasil. Técnicas de bypass UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) são rotineiramente aplicadas por malwares bancários brasileiros como [[s0531-grandoreiro]] e [[mekotio]] para obter privilégios administrativos sem alertar o usuário. > - Adoção em SOCs brasileiros: alto (UAC habilitado por padrão, mas frequentemente mal configurado em não-nível-máximo) > - Regulamentações relevantes: CIS Controls v8 (Control 4.1 — privilégio mínimo), BACEN 4893 (segurança de endpoints para IFs) > - Desafios regionais: usuários com hábito de clicar "Sim" em prompts UAC sem ler, software legado que requer privilégios administrativos para funcionar ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1574 | [[t1574-hijack-execution-flow\|T1574 — Hijack Execution Flow]] | | T1550.002 | [[t1550-002-pass-the-hash\|T1550.002 — Pass the Hash]] | | T1546.011 | [[t1546-011-application-shimming\|T1546.011 — Application Shimming]] | | T1574.005 | [[t1574-005-executable-installer-file-permissions-weakness\|T1574.005 — Executable Installer File Permissions Weakness]] | | T1548 | [[t1548-abuse-elevation-control-mechanism\|T1548 — Abuse Elevation Control Mechanism]] | | T1548.002 | [[t1548-002-bypass-user-account-control\|T1548.002 — Bypass User Account Control]] | | T1574.010 | [[t1574-010-services-file-permissions-weakness\|T1574.010 — Services File Permissions Weakness]] | --- *Fonte: [MITRE ATT&CK — M1052](https://attack.mitre.org/mitigations/M1052)*