Windows Server 진단 - UAC 우회 가능성 진단

진단 시나리오

Windows Server의 UAC(User Account Control) 우회 취약점을 진단합니다.

점검 결과

설정항목현재값권장값상태
UAC 레벨최저 (비활성화 근처)높음위험
자동 승격프롬프트 없음자격증명 요청위험
세이프 모드비활성화활성화위험
관리자 승인 모드활성화활성화양호

UAC 바이패스 시나리오

[취약한 상황 분석] 1. fodhelper.exe COM 객체 우회 - HKCU\Software\Classes\ms-settings\Shell\Open\command 조작 - 고권한 프로세스 실행 가능 2. eventcreate 명령 우회 - 로컬 관리자 계정 생성 후 권한 상승 3. wusa.exe (Windows Update Standalone Installer) 우회 - /quiet 플래그로 자동 설치 후 권한 상승 4. DiskPart 우회 - 볼륨 생성으로 권한 상승 [탐지된 취약 실행 파일] - C:\Windows\System32\fodhelper.exe - C:\Windows\System32\eventvwr.exe - C:\Windows\System32\wusa.exe

PowerShell 검증

# 현재 UAC 설정 확인 Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' | Select-Object EnableLUA, ConsentPromptBehaviorAdmin # 결과 EnableLUA : 0 (위험: UAC 비활성화) ConsentPromptBehaviorAdmin : 0 (위험: 프롬프트 없음) # 올바른 설정 # EnableLUA = 1 (활성화) # ConsentPromptBehaviorAdmin = 1 (자격증명 요청) # ConsentPromptBehaviorUser = 1 (사용자 프롬프트) # EnableInstallerDetection = 1 (설치 관리자 감지) # UAC 활성화 Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLUA -Value 1

조치 가이드