Windows Server 진단 - UAC 우회 가능성 진단
진단 시나리오
Windows Server의 UAC(User Account Control) 우회 취약점을 진단합니다.
점검 결과
| 설정항목 | 현재값 | 권장값 | 상태 |
| UAC 레벨 | 최저 (비활성화 근처) | 높음 | 위험 |
| 자동 승격 | 프롬프트 없음 | 자격증명 요청 | 위험 |
| 세이프 모드 | 비활성화 | 활성화 | 위험 |
| 관리자 승인 모드 | 활성화 | 활성화 | 양호 |
UAC 바이패스 시나리오
[취약한 상황 분석]
1. fodhelper.exe COM 객체 우회
- HKCU\Software\Classes\ms-settings\Shell\Open\command 조작
- 고권한 프로세스 실행 가능
2. eventcreate 명령 우회
- 로컬 관리자 계정 생성 후 권한 상승
3. wusa.exe (Windows Update Standalone Installer) 우회
- /quiet 플래그로 자동 설치 후 권한 상승
4. DiskPart 우회
- 볼륨 생성으로 권한 상승
[탐지된 취약 실행 파일]
- C:\Windows\System32\fodhelper.exe
- C:\Windows\System32\eventvwr.exe
- C:\Windows\System32\wusa.exe
PowerShell 검증
# 현재 UAC 설정 확인
Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' | Select-Object EnableLUA, ConsentPromptBehaviorAdmin
# 결과
EnableLUA : 0 (위험: UAC 비활성화)
ConsentPromptBehaviorAdmin : 0 (위험: 프롬프트 없음)
# 올바른 설정
# EnableLUA = 1 (활성화)
# ConsentPromptBehaviorAdmin = 1 (자격증명 요청)
# ConsentPromptBehaviorUser = 1 (사용자 프롬프트)
# EnableInstallerDetection = 1 (설치 관리자 감지)
# UAC 활성화
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLUA -Value 1
조치 가이드
- UAC 활성화: 반드시 EnableLUA = 1로 설정
- 컨트롤 패널 > 사용자 계정 > UAC 설정 변경
- 또는 레지스트리 설정
- UAC 수준 최고로 설정:
- ConsentPromptBehaviorAdmin = 1 (자격증명 요청)
- 모든 앱 설치 시 승인 요청
- 취약 실행파일 모니터링:
- fodhelper.exe, eventcreate.exe, wusa.exe 접근 제한
- AppLocker 또는 Windows Defender 정책으로 차단
- 정책 기반 강화: SCCM 또는 그룹정책으로 중앙 관리