# T1548.002 - Bypass User Account Control ## Técnica Pai Esta é uma sub-técnica de [[t1548-abuse-elevation-control-mechanism|T1548 - T1548 - Abuse Elevation Control Mechanism]]. ## Descrição O **User Account Control (UAC)** é o mecanismo de segurança do Windows que exige confirmação explícita do usuário para operações que requerem privilégios administrativos - o prompt familiar "Desejá permitir que este aplicativo faça alterações no dispositivo?". O Bypass de UAC é uma subtécnica de [[t1068-exploitation-privilege-escalation|Privilege Escalation]] e [[t1134-access-token-manipulation|Defense Evasion]] pela qual adversários elevam privilégios silenciosamente, sem acionar o prompt de confirmação. Isso é possível por meio de múltiplos vetores: abuso de binários marcados como `autoElevaté=true` no manifesto (que se elevam automaticamente sem prompt), hijacking de objetos COM privilegiados, [[t1574-hijack-execution-flow|DLL hijacking]] em processos que rodam elevados, manipulação de variáveis de ambiente (`%windir%`, `%SystemRoot%`) e abuso de interfaces de segurança do próprio sistema operacional. O impacto prático do bypass de UAC vai além da simples elevação de privilégios: com token `High Integrity`, o adversário pode parar ou remover soluções de segurança, criptografar volumes do sistema, deletar backups e shadow copies (via `vssadmin` ou `wmic`), modificar políticas de grupo locais e criar contas administrativas ocultas. A ferramenta open-source **UACMe** cataloga mais de 60 métodos distintos de bypass - um indicativo da amplitude da superfície de ataque. Muitos desses métodos exploram comportamentos documentados do próprio sistema, sem depender de vulnerabilidades (CVEs), o que os torna resilientes a ciclos de patch tradicionais. A combinação com [[t1078-valid-accounts|Valid Accounts]] e [[t1112-modify-registry|Modify Registry]] é especialmente prevalente em incidentes de ransomware. **Contexto Brasil/LATAM:** O bypass de UAC é uma etapa quase universal em ataques de ransomware ao mercado brasileiro. [[lockbit|LockBit Operators]], que figuraram entre os grupos mais ativos no Brasil em 2024-2025, empregam bypass de UAC como etapa obrigatória antes do deploy do ransomware - os privilégios administrativos obtidos são necessários para criptografar arquivos do sistema, interromper serviços de backup (Veeam, Windows Backup), deletar shadow copies e modificar configurações de recovery. Organizações brasileiras dos setores industrial, jurídico e de saúde foram vítimas documentadas desse padrão de ataque, onde a combinação de acesso inicial via [[t1074-data-staged|phishing]] e escalada silenciosa via UAC bypass resultou em comprometimento total do ambiente antes de qualquer detecção. **Event IDs críticos (Windows Security + Sysmon):** | Fonte | Event ID | Descrição | |-------|----------|-----------| | Sysmon | **13** | Modificação de registro em `HKCU\Software\Classes\ms-settings\` | | Sysmon | **1** | Criação de processo - `fodhelper.exe`, `computerdefaults.exe`, `sdclt.exe` com processo pai suspeito | | Sysmon | **10** | Acesso a processo - tentativa de obter handle com privilégios elevados | | Windows Security | **4688** | Criação de processo com `TokenElevationType = TokenElevationTypeFull (3)` | | Windows Security | **4703** | Ajuste de privilégio de token - elevação para `SeDebugPrivilege` ou `SeTakeOwnershipPrivilege` | **Sigma Rule - UAC Bypass via fodhelper Registry Manipulation:** ```yaml title: UAC Bypass via fodhelper.exe Registry Manipulation id: 9c4e2f1a-7b3d-4a8c-b1e5-3f6d9a2c8b4e status: stable description: > Detects UAC bypass via modification of HKCU registry key used by fodhelper.exe autoElevaté binary - a common technique in ransomware pre-deployment (LockBit, etc.) references: - [[t1548-002-bypass-uac]] logsource: product: windows category: registry_set detection: selection: EventID: 13 TargetObject|contains: - 'HKCU\Software\Classes\ms-settings\shell\open\command' - 'HKCU\Software\Classes\mscfile\shell\open\command' - 'HKCU\Software\Classes\exefile\shell\runas\command\IsolatedCommand' condition: selection falsepositives: - Extremely rare in normal enterprise environments level: critical tags: - attack.privilege_escalation - attack.defense_evasion - attack.t1548.002 ``` ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>Credencial Comprometida] --> B[Execução como<br/>Usuário Padrão] B --> C:::highlight[Bypass de UAC<br/>T1548.002] C --> D[Token High Integrity<br/>Privilégio Administrativo] D --> E[Deploy de Ransomware<br/>ou Persistência] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação - Reconhecimento do Nível de Integridade e Seleção do Método** O adversário primeiro verifica o nível de integridade do processo atual usando `whoami /groups` ou chamadas à API `GetTokenInformation`. Se o token está em `Medium Integrity` (usuário padrão com conta administrativa), o bypass é viável sem necessidade de exploração de vulnerabilidade. O método é selecionado com base na versão do Windows e nas configurações de UAC (nível padrão = 3, `ConsentPromptBehaviorAdmin=5`). Métodos comuns incluem: abuso do `fodhelper.exe` (autoElevaté) via registro, hijacking de `computerdefaults.exe`, ou uso de interfaces COM privilegiadas como `ICMLuaUtil`. **Execução - Elevação Silenciosa sem Prompt** No método `fodhelper.exe` (um dos mais documentados): o adversário escreve um comando malicioso na chave `HKCU\Software\Classes\ms-settings\shell\open\command` e executa `C:\Windows\System32\fodhelper.exe`. Por ser marcado como `autoElevaté`, o fodhelper se eleva sem prompt e herda a chave de registro modificada, executando o comando do adversário com privilégios `High Integrity`. O processo malicioso resultante roda como administrador sem que nenhum diálogo UAC tenha sido exibido ao usuário. Após a execução, as chaves de registro são tipicamente removidas para apagar rastros - alinhando-se a [[t1112-modify-registry|Modify Registry]]. **Pós-execução - Exercício Pleno de Privilégios Administrativos** Com o token `High Integrity`, o adversário tem liberdade irrestrita: pode parar e desabilitar serviços de segurança (AV, EDR), criar contas administrativas locais via [[t1078-valid-accounts|Valid Accounts]], executar `vssadmin delete shadows /all /quiet` para eliminar pontos de restauração, modificar configurações de boot e recovery, e realizar movimentação lateral com credenciais de alto privilégio. Em incidentes de [[lockbit|LockBit]], este é o ponto de inflexão após o qual a contenção se torna significativamente mais complexa. ## Detecção > [!danger] Alta Prioridade de Detecção > Bypass de UAC silencioso é um precursor quase universal de ataques ransomware. Detectar as modificações de registro associadas **antes** da execução do payload é a jánela de contenção mais eficaz. ## Mitigação | Controle | Medida | Aplicação para Organizações Brasileiras | |----------|--------|----------------------------------------| | Configuração de UAC | Elevar UAC para nível máximo | Configurar `ConsentPromptBehaviorAdmin=2` (sempre pede senha, não apenas confirmação). Impede a maioria dos métodos autoElevaté pois exige credencial explícita de administrador. Aplicar via GPO em toda a organização. | | Princípio do Menor Privilégio | Separar contas de usuário e administrador | Usuários do dia a dia NÃO devem ter contas com memberships em `Administrators`. Criar contas administrativas separadas, usadas apenas para tarefas específicas - reduz drasticamente a superfície de bypass de UAC. | | [[t1068-exploitation-privilege-escalation\|Monitoramento de Elevação]] | Alertar sobre processos autoElevaté | Monitorar execução de `fodhelper.exe`, `sdclt.exe`, `computerdefaults.exe`, `eventvwr.exe` precedida por modificação de registro em `HKCU\Software\Classes`. Criar alertas de alta prioridade no SIEM. | | [[t1112-modify-registry\|Hardening de Registro]] | Auditar modificações em chaves sensíveis | Habilitar auditoria de objeto no registro para `HKCU\Software\Classes\ms-settings` e outras chaves associadas a autoElevaté. Considerar bloqueio via DACL em ambientes de alta segurança. | | Segmentação e Contenção | Windows Defender Credential Guard | Habilitar Credential Guard e Virtualization Based Security (VBS) - reduz o impacto de escalada mesmo quando o bypass tem sucesso, protegendo credenciais em memória de uso pós-elevação. | ## Threat Actors - [[lockbit|LockBit Operators]] - um dos grupos de ransomware mais ativos no Brasil em 2024-2025; empregam bypass de UAC como etapa obrigatória no playbook de ataque para garantir privilégios plenos antes de criptografar arquivos do sistema, deletar shadow copies e desabilitar backups. ## Software Associado - [[t1068-exploitation-privilege-escalation|UACMe]] - ferramenta open-source que cataloga mais de 60 métodos de bypass de UAC; amplamente utilizada como referência por operadores de ransomware e pentesters para identificar o método mais eficaz na versão específica do Windows. - [[s0154-cobalt-strike|Cobalt Strike]] - framework de C2 que inclui módulos nativos de bypass de UAC para elevação pós-comprometimento; seus beacons executam bypass automaticamente quando detectam token de `Medium Integrity`. - [[t1574-hijack-execution-flow|Metasploit Framework]] - inclui módulos específicos de bypass de UAC (`exploit/windows/local/bypassuac_*`) frequentemente usados em pentests e por operadores de ameaça como preparação para deploy de ransomware. --- *Fonte: [MITRE ATT&CK - T1548.002](https://attack.mitre.org/techniques/T1548/002)*