I privilegi di Windows per l'escalation? [chiuso]

2

Quali sono i privilegi di Windows che meritano di prestare attenzione per evitare che un utente (non amministratore) aumenti i suoi privilegi al gruppo di amministratori locali? Conosco SeDebugPrivilege, ma che altro?

Grazie.

Modifica per chiarimenti: sto cercando un elenco di privilegi che possono essere abusati durante i tentativi di escalation. L'obiettivo è controllare i privilegi dell'utente per evitare escalade.

    
posta Jeremy 07.01.2014 - 15:02
fonte

1 risposta

2

Oltre a SeDebugPrivilege, l'altro privilegio principale che viene abusato durante i tentativi di escalation è SeImpersonatePrivilege (sfruttato in strumenti come Incognito ). Questo privilegio può consentire all'utente di rubare i token di rappresentazione e / o delega presenti sulla macchina.

Detto questo, ci sono un certo numero di privilegi amministrativi che teoricamente hanno il potenziale per aiutare durante i tentativi di escalation dei privilegi, tra cui:

  • SeAssignPrimaryTokenPrivilege
  • SeTakeOwnershipPrivilege (possedere e modificare oggetti per elevare i privilegi)
  • SeCreateTokenPrivilege
  • SeTcbPrivilege
  • SeRestorePrivilege (accesso in scrittura a qualsiasi file)
  • SeLoadDriverPrivilege
  • SeSecurityPrivilege

Una lista esauriente sarebbe difficile da comporre, e non potrei dire con alcun grado di certezza che qualsiasi privilegio amministrativo non potrebbe in qualche modo essere sfruttato in questo modo.

Inoltre, come potrebbe essere abusato di SeTakeOwnershipPrivilege e SeRestorePrivilege, un metodo comune di escalation da parte di Domain User che vedo regolarmente implica la sovrascrittura di binari o altro codice che verrà eseguito da un account con privilegi più elevati. Pertanto, l'accesso in scrittura ai file binari del servizio, System32, la directory di avvio di tutti gli utenti, gli eseguibili dell'applicazione ecc. Possono portare ad altri account (sistema locale, amministratori) che eseguono il codice di un utente malintenzionato. Personalmente ho scoperto che i permessi dei file configurati male sono un vettore di attacco più comune quando escalation dagli utenti di base.

Una buona panoramica dei diversi metodi, inclusi alcuni di quelli sopra: link

    
risposta data 07.01.2014 - 18:06
fonte

Leggi altre domande sui tag