Il bruto forza un accesso GUI?

Uno script può simulare sequenze di tasti / clic del mouse su Windows. Credo che il prompt del controllo dell'account utente sia protetto dal sistema operativo rendendo l'automazione selezionandola facendo un compito più difficile. (Non sono un utente di Windows, ma è semplice per simulare clic / movimenti del mouse in Windows). Apparentemente la schermata UAC viene eseguita come utente di sistema (un utente con più autorizzazioni di un amministratore, ma non proprio il kernel) quindi, a meno che non siate in grado di scrivere ed eseguire uno script come utente di sistema, non sarebbe possibile ignorare l'UAC clic.

Ma in generale, avere un accesso GUI con un pulsante non rende più difficile la rottura della schermata di accesso. Qualsiasi attaccante ragionevole esaminerà il modo in cui il programma sta controllando la password, estrarrà l'hash salvato dalla memoria e scriverà un codice GPU massivamente parallelo per forzarlo. (A meno che non sia fatto in rete e poi smetterebbero di usare la GUI e fare direttamente le richieste). Ma anche se in qualche modo vincolato a simulare sequenze di tasti e movimenti / clic del mouse è ancora banale da fare.

Non sono sicuro di come pensi che il prompt UAC sia correlato alla bruteforcing di un accesso alla GUI.

Il prompt UAC viene eseguito in qualcosa che Microsoft chiama secure desktop . Gli unici processi in esecuzione nell'ambiente secure desktop sono processi attendibili eseguiti come SYSTEM . Questo è sicuro poiché nessun malware in esecuzione a livello di privilegio utente può essere eseguito nell'ambiente secure desktop . È essenzialmente un ambiente pulito in cui è possibile consentire o rifiutare in modo sicuro nuovi processi.

Se hai già un'applicazione in esecuzione con una pagina di accesso alla GUI, posso sicuramente scrivere un pezzo di malware o script per bruteforce gli account utente. L'ambiente desktop sicuro UAC non ha nulla a che fare con esso.