Jump to content
Kaspersky Support Forum

Windows 10/11 FoDHelper UAC-Bypassing-Test und Fremdvirenscanner

Sonnschein11

By Sonnschein11
in Für Privatanwender

 Share

Recommended Posts

Sonnschein11

Sonnschein11

Posted
Posted

Hallo,

inspiriert von diesem Blogbeitrag, habe ich meinen Rechner diesen Test unterzogen.

Leider schützt mich (noch nicht) Kaspersky vor dieser Schwachstelle im System.

https://www.borncity.com/blog/2023/03/18/windows-10-11-fodhelper-uac-bypassing-test-und-fremdvirenscanner/#comment-144764

 

Seht es als Information mit der Bitte, dass die Softwareentwickler bei kaspersky diese "Lücke" schließen können.

 

Hello,

inspired by this blog post, I put my computer through this test.

Unfortunately, Kaspersky does not (yet) protect me from this vulnerability in the system.
https://www.borncity.com/blog/2023/03/18/windows-10-11-fodhelper-uac-bypassing-test-und-fremdvirenscanner/#comment-144764

See it as information with the request that the software developers at kaspersky can close this "gap".

Link to comment
Share on other sites
Schulte

Schulte

Posted
Posted

Hallo @Sonnschein11, willkommen.

Interessante mögliche Schwachstelle, darauf muss man erst mal kommen...

Hat sich bei Deinem Test die Windows-Einstellungsseite "Optionale Features" geöffnet?
Laut Comment #1 und dem von Dir verlinkten scheint das nicht der Fall zu sein. Somit ist der Schutz wohl weitestgehend da.

Kannst Du aus Deinem Test noch ein paar Infos beisteuern?

Ich prüfe das morgen auch selbst mal...

Link to comment
Share on other sites
Schulte

Schulte

Posted
Posted

Hab' inzwischen mal getestet.

Vorab:
der Autor des Blogs hat trotz seiner anerkannten Expertise den Exploit schlecht beschrieben oder nicht gänzlich verstanden.
Es geht nicht darum, ob sich das "Optionale Features"-Fenster öffnet oder nicht, sondern dass mit dessen Hilfe Programme mit Admin-Rechten gestartet werden können. Im Test wird CMD als Beispiel benutzt. Vielen Dank an MS für dieses "Feature", das zum Missbrauch einlädt.

Zum Test:
Es soll eine Anwendung mit Admin-Rechten gestartet werden. Ein Test unter einem Admin-Konto ist also überflüssig, eine UAC-Nachfrage wäre Unfug. Dennoch sperrt KIS (im manuellen Modus) den Zugriff auf die Registry, der Start der .exe bliebe ohne Folgen.

Beim Test unter einem Anwenderkonto erhielt ich verschiedene Ergebnisse.
Rechner 1 (W10, kein Internet, uralte Signaturen):
Im Automatik-Modus wurden die Registry-Einträge gesetzt, die .exe wurde durch die UAC-Abfrage blockiert.
Im manuellen Modus wurde vor dem Setzen der Registry-Einträge gewarnt, sollte man blockieren. Danach kam die UAC-Abfrage.

Rechner 2 (W10, Internet, alles aktuell):
Batch wurde als Trojaner erkannt und blockiert.

In meinen Tests war es also nicht möglich, die UAC wie beabsichtigt zu umgehen. Aber es sind auch nur zwei Rechner von Millionen...

  • Like 1
Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...