Sicurezza dei processi di Windows utilizzando "RunAs A Different User"

5

Ho faticato a trovare molte informazioni su questo argomento. Quello che mi interessa è il seguente:

Scenario
Un utente è registrato in una workstation Windows (7, 8.1, ecc.) Come account standard non amministrativo. Utilizzano quindi il metodo Shift-Right Click per avviare un altro processo come account con privilegi elevati (ad es. Amministratore di dominio, amministratore locale, ecc.)

Domanda
Se quella workstation dovesse essere infettata da Malware, quale livello di autorizzazioni avrebbe il potenziale realistico da sfruttare? Sarebbe limitato all'account non amministrativo che ha effettuato l'accesso o avrebbe la possibilità di sfruttare anche eventuali processi elevati che potrebbero essere disponibili? Inoltre, quanto sarebbe differente dalle operazioni UAC standard?

Lo scopo della domanda è determinare quanto sia efficace l'esecuzione come non amministratore mentre si elevano ancora diversi processi contro il malware?

    
posta TokinRing 28.01.2016 - 04:25
fonte

2 risposte

4

Ci sono così tante variabili in questa domanda che sono state dette ma fornirò alcuni scenari.

Scenario 1: Il computer dell'utente è stato infettato da un "virus.exe" che è in esecuzione nel contesto utente "TokinRing" che non è un account amministratore. Hai deciso di eseguire un'applicazione "cool.exe" come account amministratore. La sicurezza windows predefinita per "virus.exe" non impedirà l'utilizzo di API come OpenProcess, SendMessage e così via contro "cool.exe" poiché è in esecuzione con autorizzazioni più elevate.

Tuttavia, se "cool.exe" sta usando è vunerable buffer overflow che può essere influenzato dall'account non amministrativo. Quindi, diciamo "cool.exe" legge un file a cui qualsiasi utente può scrivere. Se "virus.exe" crea un file per causare un overflow del buffer ed esegue shellcode per fare qualsiasi cosa con un processo di autorizzazione più elevato.

Scenario 2: Il computer dell'utente è stato infettato da un "virus.exe" che si sta eseguendo sotto il contesto amministratore / sistema che questo virus può eseguire in qualsiasi processo nel sistema e potrebbe impersonare qualsiasi utente locale.

Se potresti rendere la tua domanda più specifica, ti darei volentieri una risposta più approfondita.

    
risposta data 28.01.2016 - 11:45
fonte
1

Questo dipende molto dal processo utilizzato per condurre l'exploit. Se il processo di privilegio elevato è quello in uso, qualsiasi shellcode immesso nello spazio degli indirizzi logici avrà i privilegi di amministratore.

Quindi, se un utente normale inizia, ad esempio, Firefox come amministratore e cattura un malware utilizzando drive-by-download, l'exploit avrà accesso allo squillo 0. Questo è anche il motivo per cui è quasi sempre una cattiva idea eseguire qualcosa di non necessario come amministratore.

    
risposta data 28.01.2016 - 07:58
fonte

Leggi altre domande sui tag