Molte aziende eseguono il servizio sui server di produzione come SYSTEM senza considerare il rischio che potrebbe derivare da questa configurazione, qual è il rischio maggiore associato ad esso? e in che modo gli aggressori sfruttano questo tipo di configurazione?
Scenario peggiore dei casi
Quando un utente malintenzionato sfrutta un'applicazione per eseguire codice arbitrario, questo codice verrà eseguito con il contesto (e quindi i privilegi) dell'applicazione sfruttata. Quindi se il servizio in esecuzione come SYSTEM ha una porta di ascolto ed è sfruttabile da internet o rete, l'hacker può fare praticamente qualsiasi cosa sul computer, incluso l'aggiunta di nuovi account amministratore o il dumping di password e certificati usando mimikatz
Escalation di privilegi
Se l'applicazione non sta ascoltando su una porta, o non è sfruttabile usando quella porta, allora il servizio potrebbe ancora consentire l'autore dell'attacco a elevare i privilegi . ciò richiede che l'utente malintenzionato abbia prima un accesso privilegiato inferiore, ad esempio tramite lo sfruttamento di un'applicazione o di un utente con privilegi inferiori.
Per attaccare il servizio in questo modo l'attaccante di solito ha bisogno di cercare errate configurazioni nel servizio stesso, piuttosto che nell'applicazione. Può provare a modificare il file binario (file exe) dell'applicazione e quindi riavviare il servizio, provare e modificare il percorso del servizio (modificando in tal modo ciò che exe viene eseguito all'avvio del servizio). Oppure può provare dirottamento DLL solo per citarne alcuni.
Se uno di questi attacchi riesce, può eseguire il codice nel contesto dell'applicazione e quindi come SISTEMA. Per minimizzare questo rischio, esegui le applicazioni con il minor numero possibile di privilegi richiesti, se il servizio non ha bisogno di eseguire un SISTEMA, in tal caso si pone un inutile rischio per la sicurezza.
Leggi altre domande sui tag windows windows-permissions windows-server