Jump to content

Windows 10/11 FoDHelper UAC-Bypassing-Test und Fremdvirenscanner


Recommended Posts

Sonnschein11
Posted

Hallo,

inspiriert von diesem Blogbeitrag, habe ich meinen Rechner diesen Test unterzogen.

Leider schützt mich (noch nicht) Kaspersky vor dieser Schwachstelle im System.

https://www.borncity.com/blog/2023/03/18/windows-10-11-fodhelper-uac-bypassing-test-und-fremdvirenscanner/#comment-144764

 

Seht es als Information mit der Bitte, dass die Softwareentwickler bei kaspersky diese "Lücke" schließen können.

 

Hello,

inspired by this blog post, I put my computer through this test.

Unfortunately, Kaspersky does not (yet) protect me from this vulnerability in the system.
https://www.borncity.com/blog/2023/03/18/windows-10-11-fodhelper-uac-bypassing-test-und-fremdvirenscanner/#comment-144764

See it as information with the request that the software developers at kaspersky can close this "gap".

Posted

Hallo @Sonnschein11, willkommen.

Interessante mögliche Schwachstelle, darauf muss man erst mal kommen...

Hat sich bei Deinem Test die Windows-Einstellungsseite "Optionale Features" geöffnet?
Laut Comment #1 und dem von Dir verlinkten scheint das nicht der Fall zu sein. Somit ist der Schutz wohl weitestgehend da.

Kannst Du aus Deinem Test noch ein paar Infos beisteuern?

Ich prüfe das morgen auch selbst mal...

Posted

Hab' inzwischen mal getestet.

Vorab:
der Autor des Blogs hat trotz seiner anerkannten Expertise den Exploit schlecht beschrieben oder nicht gänzlich verstanden.
Es geht nicht darum, ob sich das "Optionale Features"-Fenster öffnet oder nicht, sondern dass mit dessen Hilfe Programme mit Admin-Rechten gestartet werden können. Im Test wird CMD als Beispiel benutzt. Vielen Dank an MS für dieses "Feature", das zum Missbrauch einlädt.

Zum Test:
Es soll eine Anwendung mit Admin-Rechten gestartet werden. Ein Test unter einem Admin-Konto ist also überflüssig, eine UAC-Nachfrage wäre Unfug. Dennoch sperrt KIS (im manuellen Modus) den Zugriff auf die Registry, der Start der .exe bliebe ohne Folgen.

Beim Test unter einem Anwenderkonto erhielt ich verschiedene Ergebnisse.
Rechner 1 (W10, kein Internet, uralte Signaturen):
Im Automatik-Modus wurden die Registry-Einträge gesetzt, die .exe wurde durch die UAC-Abfrage blockiert.
Im manuellen Modus wurde vor dem Setzen der Registry-Einträge gewarnt, sollte man blockieren. Danach kam die UAC-Abfrage.

Rechner 2 (W10, Internet, alles aktuell):
Batch wurde als Trojaner erkannt und blockiert.

In meinen Tests war es also nicht möglich, die UAC wie beabsichtigt zu umgehen. Aber es sind auch nur zwei Rechner von Millionen...

  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...