Protection 📝 Techniques d’évasion UAC (User Account Control) sur Windows 11

[Sylvain*]

Techniques d’évasion UAC (User Account Control) sur Windows 11

Introduction

L’UAC (User Account Control) est une fonctionnalité de sécurité native de Windows 11 conçue pour limiter l’impact des logiciels malveillants en empêchant l’exécution de modifications non autorisées. Toutefois, certains vecteurs d’attaque permettent à un acteur malveillant d’élever les privilèges sans déclencher l’invite UAC. Ce tutoriel expose cinq méthodes d’évasion UAC couramment exploitées, à des fins d’analyse ou de test de robustesse des systèmes.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les outils systèmes Windows

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Évasion via fodhelper.exe

• Étape #2 : Évasion via eventvwr.exe

• Étape #3 : Évasion via sdclt.exe

• Étape #4 : Évasion via computerdefaults.exe

• Étape #5 : Évasion par hijacking de clé de registre

---

Les Avantages

• Étape #1 : Méthode discrète sans invite UAC

• Étape #2 : Compatible avec de nombreuses versions de Windows 11

• Étape #3 : Utilise des composants système légitimes

• Étape #4 : Facilement automatisable dans des scripts

• Étape #5 : Permet de tester la résilience des défenses

---

Les Inconvénients

• Étape #1 : Peut être détectée par les solutions EDR

• Étape #2 : Nécessite des droits d’écriture dans le registre

• Étape #3 : Non fonctionnel sur certains builds récents

• Étape #4 : Exploitable uniquement dans des contextes spécifiques

• Étape #5 : Manipulation délicate du registre

---

Étape #1

Ouvrir Regedit en tant qu’administrateur

Naviguer vers la clé :

HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command

Créer ou modifier la valeur

(par défaut)

avec la commande de son choix

Créer une valeur chaîne nommée

DelegateExecute

(laisser vide)

Exécuter :

fodhelper.exe

---

Étape #2

Ouvrir Regedit

Modifier la clé suivante :

HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command

Définir

(par défaut)

avec l’exécutable à lancer

Exécuter :

eventvwr.exe

---

Étape #3

Ouvrir Regedit

Créer/modifier :

HKEY_CURRENT_USER\Software\Classes\Folder\shell\open\command

Définir

(par défaut)

avec une commande système

Lancer :

sdclt.exe /setuppage

---

Étape #4

Modifier la clé :

HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas\command

Définir

(par défaut)

avec la commande souhaitée

Créer la valeur

IsolatedCommand

si nécessaire

Exécuter :

computerdefaults.exe

---

Étape #5

Identifier une application système avec auto élévation

Intercepter l’appel COM ou le chargement de DLL via Process Monitor

Créer une DLL piégée dans un répertoire accessible

Utiliser le binaire ciblé pour déclencher le chargement de la DLL

---

Astuce

Pour observer efficacement les comportements UAC et les appels système, utiliser Process Monitor de la suite Sysinternals permet de détecter les vecteurs d’exécution silencieuse. Associez-le à Autoruns pour vérifier les hijacks de clés de registre.

---

Mise en garde

L’utilisation de ces techniques en dehors d’un cadre de test autorisé est illégale et peut entraîner de lourdes sanctions. Ce guide est strictement réservé à l’apprentissage en environnement de test sécurisé.

---

Conseil

Activez l’UAC au niveau maximal dans l’environnement de production et surveillez toute modification suspecte du registre avec des outils comme Microsoft Defender for Endpoint ou Sysmon.

---

Solutions alternatives

• bypass UAC Windows 11

• uac elevation techniques site:github.com

• windows 11 uac registry evasion

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

Maîtriser les techniques d’évasion UAC permet de mieux sécuriser les systèmes contre les élévations de privilèges non autorisées. Ce savoir est essentiel pour les professionnels en cybersécurité souhaitant tester la robustesse de leurs défenses, à condition de toujours respecter le cadre légal.