Descripción de la Tecnica
Bypass User Account Control (UAC) es una técnica de ciberseguridad relacionada con el MITRE ATT&CK, que permite a los atacantes evitar mecanismos de control de cuentas de usuario en Windows para elevar los privilegios de un proceso. La UAC permite a un programa solicitar permisos de administrador, pero los adversarios pueden encontrar formas de superar estas limitaciones para ejecutar tareas con mayor nivel de autorización.
¿Cómo Funciona?
La técnica se basa en la capacidad de un proceso para solicitar elevación de privilegios bajo el control de UAC. En escenarios críticos, los atacantes pueden forzar a un usuario a confirmar una acción que permite ejecutar código con permisos administradores, incluso si no tiene acceso directo. Esto puede permitir la ejecución de comandos con nivel de privilegio alto, lo que facilita la infección del sistema o el robo de información sensible.
Actores que la Utilizan
La técnica T1548.002 está asociada a múltiples actores cibernéticos y amenazas, incluyendo grupos maliciosos y ciberdelincuentes. Sin embargo, no se disponen de datos públicos específicos sobre actores particulares que la utilicen en un contexto concreto.
Detección
La detección de esta técnica implica monitorear actividades anormales relacionadas con la elevación de privilegios. Se pueden observar comportamientos como: - Ejecución de procesos sin autorización. - Solicitudes de confirmación de usuario en contextos no esperados. - Uso inusual de permisos administradores. Los sistemas de seguridad basados en IA y análisis de comportamiento son herramientas efectivas para identificar estos patrones.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda:
- Configurar la UAC en modo alto para minimizar las oportunidades de elevación.
- Revisar regularmente los permisos de los usuarios y grupos en el sistema.
- Implementar monitoreo continuo con herramientas de detección de amenazas.
- Actualizar las configuraciones de UAC según las mejores prácticas de seguridad.