Security awareness — werkplek test

Werkplek-Beveiliging-Test

Hoe goed is uw werkplek beveiligd tegen klassieke UAC-bypass? Genereer een test-script en zie het zelf.

⚠ Alleen op eigen werkplek of met expliciete toestemming

Deze tool genereert een Windows .bat-script dat gebruik maakt van de bekende __COMPAT_LAYER=RunAsInvoker shim-truc om een programma zonder UAC-prompt te starten, plus extra tests rond C:\Program Files schrijftoegang en environment-variable manipulatie.

Goed-beheerde werkplekken (AppLocker, EDR, GPO-lockdown, juiste NTFS-permissies) blokkeren dit. Slecht-beheerde werkplekken laten het toe. Dat is precies wat de test uitwijst.

Gebruik deze test alleen: op uw eigen apparaat, of op een apparaat waarvan u expliciete toestemming heeft van de eigenaar/werkgever om beveiligings-tests uit te voeren. Uitvoeren op werkapparatuur zonder toestemming kan een schending zijn van het arbeidsreglement of de Wet computercriminaliteit.

🧮 De opportune combinatie — waarom 3 componenten

Deze test bestaat bewust uit drie samenwerkende componenten: een gegenereerd .bat-script, WpbInstaller.exe en WpbDemo.exe. Elk toetst iets anders — en alleen samen reproduceren ze een realistische aanvalsketen waarmee u uw werkplek maximaal kunt testen.

Component	Wat het is	Wat het bewijst
Gegenereerd `.bat`	Server-side gemaakt batch-script met `__COMPAT_LAYER=RunAsInvoker`. Transparante echo-regels, geen logging.	Mag scripting überhaupt draaien? AppLocker / SRP / attachment-blocking / execution-policy.
`WpbInstaller.exe`	Echte installer met `requireAdministrator` in het manifest. Dit zou normaal een UAC-prompt triggeren.	Wordt UAC daadwerkelijk omzeild? Krijgt een ongetekende "installer" elevation zónder dat de gebruiker iets ziet? Dit is de kern-bypass-test.
`WpbDemo.exe`	Read-only recon-tool met `asInvoker` manifest. ~35 checks (Defender, AppLocker-policy, BitLocker, scheduled tasks, AD-enum, browser-processen, public IP).	Wat kan een niet-elevated proces alsnog zien? Het gevolg-narratief: na een bypass, wat ligt er dan voor het oprapen?

De aanvalsketen die deze drie samen reproduceren:

Een phishing-attachment (het .bat) komt binnen en wordt geopend.
Het script start WpbInstaller.exe via __COMPAT_LAYER=RunAsInvoker — elevation-bypass-test op uw endpoint.
WpbDemo.exe draait als niet-elevated proces en toont wat een aanvaller zonder admin al kan zien.

Maximaal testen betekent: niet één control toetsen, maar de hele keten. Een werkplek die de .bat-stap blokkeert (goede script-control) hoeft niets te bewijzen over UAC of recon. Een werkplek die alle drie de stappen laat slagen, heeft een fundamenteel gat in de endpoint-architectuur. De recon-output van Demo.exe vertaalt dat gat in een concrete fix-lijst voor IT — en is daarmee bruikbaar zonder Red-Team-budget.

Tip voor IT-/security-teams: draai de drie componenten op één & dezelfde test-werkplek, vergelijk de bevindingen met uw werkplek-baseline (Intune / GPO / AppLocker) en gebruik de export van Demo.exe als input voor uw eerstvolgende hardening-sprint. Zie ook het artikel Testen, mitigeren, voorkomen voor de aanpak per bevinding.

🌐 Module 2 — Web-Recon (geen download nodig)

Wilt u zien wat een willekeurige website érgens op het internet over uw werkplek kan zien zonder dat u iets installeert? Doe de browser-only test. Volledig client-side, geen logging.

→ Naar Web-Recon test

📚 Wat doet het script precies?

Het script voert drie tests achter elkaar uit op uw werkplek — en toont per stap wat het resultaat betekent.

Test 1: schrijftoegang tot C:\Program Files
Standaard mogen alleen Administrators in C:\Program Files en C:\Program Files (x86) schrijven. Daarom kan een gewone user normaal geen software installeren in die mappen — dat is een fundament van Windows-beveiliging.

Het script probeert een kleine testmap aan te maken in C:\Program Files. Lukt het, dan zit er een gat in uw NTFS-permissies. Lukt het niet (verwacht), dan gaat het script door naar test 2.
Test 2: omleidings-workaround via %PROGRAMFILES% env-var
De Windows-omgevingsvariabele %PROGRAMFILES% bevat het pad C:\Program Files. Veel installers gebruiken die waarde als default install-folder. Een gebruiker kan binnen zijn eigen cmd-sessie deze variabele overschrijven naar een eigen schrijfbare map — zoals %USERPROFILE%\apps.

Het script doet dit en stelt %PROGRAMFILES% in op een gebruikers-eigen map. Veel installers volgen die nieuwe waarde dan klakkeloos — ondanks dat ze normaal admin-rechten zouden eisen.
Test 3: start setup-programma met UAC-suppressie
Daarna wordt __COMPAT_LAYER=RunAsInvoker gezet en het door u opgegeven setup-programma gestart. Op een goed-beheerde werkplek wordt dit alsnog tegengehouden (AppLocker/WDAC/EDR). Op een slecht-beheerde werkplek installeert het programma zich in uw eigen map — zonder UAC-prompt, zonder admin-rechten, en zonder dat IT iets ziet.

Conclusie van de test: als minstens één van de drie stappen werkt op uw werkplek, kunnen medewerkers in principe software installeren zonder dat IT dat ziet of goedkeurt. Dat is een gat dat in elk endpoint-beveiligingsplan zou moeten zijn gedicht.

💾 Demo programma + installer (Windows .exe) v0.1.2 — Looking Glass

Compleet C# / .NET 8 / WinForms-demo: ~35 read-only checks zichtbaar op uw werkplek. Looking Glass voegt toe: Mark-of-the-Web detectie, mapped network-drives, eigen certificaten, OneDrive/Teams/Slack-paden, browser-processen (injection-candidates), Outlook-COM detectie, token-impersonatie (SeImpersonate), opt-in network-outbound tests, opt-in persistence write-demo (HKCU\\Run, met directe cleanup) en JSON-export voor SIEM.

⚠ Belangrijk — combineer met een script-download: de .exe-bestanden hier zijn ontworpen om via een .bat- of .txt-script gestart te worden (met __COMPAT_LAYER=RunAsInvoker). Een rechtstreekse dubbelklik op WpbInstaller.exe triggert gewoon een UAC-prompt — dat bewijst niets. Pas wanneer u de installer of demo laat starten vanuit een gegenereerd script wordt de UAC-bypass-keten zichtbaar. Genereer eerst een script in de sectie Standaard tests hieronder of via de Custom flow, en pas daarna deze .exe-bestanden.

📦 Bundle (.zip + .txt-fallback)

WpbInstaller.exe + WpbDemo.exe + README.txt in één zip. Combineer met een gegenereerd .bat-script (zie sectie hieronder) om de volledige keten te testen.

Wordt de .zip geblokkeerd door uw e-mailfilter, browser-attachment-policy of AV? Download dan de .zip.txt-fallback en hernoem het bestand naar wpb-test-bundle.zip (verwijder de .txt-extensie) vóór u uitpakt. Inhoud is bit-identiek.

Download bundle.zip (~428 KB) → Of: bundle.zip.txt (fallback) →

🔧 Alleen Installer

Installer met requireAdministrator-manifest + 7-stage endpoint-tests. Op zichzelf triggert dubbelklik een normale UAC-prompt — gebruik de .bat uit "Standaard tests" of Custom flow om de installer te starten zonder UAC, dan pas wordt de bypass aantoonbaar.

Download WpbInstaller.exe (~516 KB) →

📊 Alleen Demo

Read-only recon-rapport, ~30 checks + WinForms-grid + HTML-export. Werkt stand-alone om te zien wat een aanvaller zonder admin al ziet. Voor de volledige aanvalsketen: koppel met een .bat-script.

Download WpbDemo.exe (~516 KB) →

Source: cpaglebbeek/WinRunElevated (privé) · Release: v0.1.2 — Looking Glass

⚡ Standaard tests (direct downloadbaar — geen pad nodig)

Vier kant-en-klare scripts (.bat of .txt). Combineer met de Demo of Installer uit de sectie hierboven om de volledige keten zichtbaar te maken — de scripts op zichzelf tonen al script-control + UAC-suppressie, en sámen met een .exe wordt ook de installer-bypass aangetoond. Lees vooraf de uitgebreide analyse: 📚 De gevaren van PowerShell zonder lockdown →

💾 PowerShell elevated

Probeert PowerShell met admin-rechten te starten via __COMPAT_LAYER=RunAsInvoker. Het nieuwe venster meldt zelf of het admin draait.

💻 CMD elevated

Start CMD via __COMPAT_LAYER en test admin-rechten via net session. Lukt dat zonder UAC-prompt: kwetsbaar.

🔐 PowerShell ExecutionPolicy = Unrestricted

Probeert Set-ExecutionPolicy op LocalMachine (admin-only) én CurrentUser (mag normaal). Bij succes: grafisch PS-rapport met live recon + klikbare link naar de gevaren-analyse.

🎯 Volledige scan — alle 7 tests in één script

Bundelt alle awareness-tests in één sequentieel script: (1) CMD openen, (2) .bat uit %TEMP% uitvoeren, (3) .ps1 uit %TEMP% uitvoeren, (4) PowerShell openen, (5) ExecutionPolicy = Unrestricted, (6) start ongetekende executable (notepad als safe target), (7) schrijftest C:\Program Files vs %USERPROFILE%\apps. Eindrapport: grafisch PS-overzicht met klikbare link naar de gevaren-analyse.

— of — eigen executable opgeven

🔐 Genereer uw test-script

Kies een uitvoerbaar bestand via de file dialog — het script wordt gegenereerd, gedownload en uitgevoerd op uw werkplek. De server raakt nooit een executable aan; alleen het door u opgegeven pad wordt gebruikt in het script.

Tip: wijs hier de WpbInstaller.exe of WpbDemo.exe aan die u hierboven heeft gedownload — zo combineert u script (script-control + UAC-bypass) met installer/demo (recon-output) tot de volledige aanvalsketen.

Bestand kiezen (file dialog) Klik om een bestand te selecteren op uw apparaat. Belangrijk: browsers geven om veiligheidsredenen alleen de bestandsnaam door — niet het volledige pad. Het pad-veld hieronder wordt automatisch gevuld met een suggestie die u kunt aanpassen. Volledig Windows-pad Het pad zoals het op uw Windows-apparaat staat. %USERNAME% wordt door Windows zelf vervangen door uw gebruikersnaam. Voorbeelden: C:\Windows\System32\cmd.exe · C:\Users\%USERNAME%\Downloads\jouw-exe.exe

Ik bevestig dat ik dit script alleen uitvoer op mijn eigen werkplek of op een apparaat waarvoor ik expliciete toestemming heb gekregen van de eigenaar/werkgever om beveiligings-tests te doen. Ik begrijp dat misbruik strafbaar kan zijn.

📚 Twee download-methoden:

Methode 1 (.bat): normale download — direct uitvoerbaar. Veel browsers of antivirus-programma's blokkeren ongetekende .bat uit voorzorg. Als dat gebeurt: gebruik methode 2.

Methode 2 (.txt): hetzelfde script, maar als .txt-bestand — niet uitvoerbaar tot u het hernoemt. Open het na download in Verkenner en hernoem naar .bat. Alternatief: open het in Notepad, kies Bestand → Opslaan als en kies *.bat bij de bestandsnaam.

Tip: het feit dat methode 1 wordt geblokkeerd door uw browser/AV is op zichzelf al een positief teken voor uw endpoint-beveiliging.

Wat te doen na download

Sla het script op (Downloads of Desktop).
Dubbelklik op het .bat bestand (of rechtsklik → Run).
Bekijk het resultaat in het console-venster.

Wat de uitkomst betekent

Programma start zonder UAC-prompt → uw endpoint is kwetsbaar voor deze klasse van bypass. Goed-geconfigureerde werkplekken blokkeren dit via AppLocker / WDAC / EDR / GPO.

UAC-prompt verschijnt of programma faalt → uw endpoint is correct beschermd. Test geslaagd.

Bij twijfel: neem deze test mee naar uw IT-/Security-afdeling. Veilig mailen analyse en AI Governance Framework tonen vergelijkbare voorbeelden van iCt Horse's evidence-based security research.