Sto facendo un'analisi di sicurezza e sto cercando di capire quali sono i possibili vettori di attacco e le possibilità di escalation dei privilegi sul modo in cui questo programma è impostato?
Ho usato Attack Surface Analyzer che ha contrassegnato il " MyService
" installato dal programma come vulnerabile alla manomissione. Inizialmente pensavo che avesse a che fare con gli ACL e gli ACE del servizio, dopo un sacco di mal di testa si è scoperto che aveva a che fare con il percorso in cui i servizi vengono avviati e gli attributi di directory che eredita. Il programma sta per scadere con C:\ProgramData
Le directory consentono a tutti gli "Utenti incorporati" " FILE_ADD_FILE FILE_ADD_SUBDIRECTORY FILE_WRITE_ATTRIBUTES FILE_WRITE_EA
."
Mentre giocavo con diverse possibilità, ero in grado di aggiungere file e cartelle all'interno del percorso del programma, tuttavia non sono in grado di rinominare, eliminare o sostituire alcun file. All'inizio ho pensato bene se potevo sostituire il file eseguibile che il servizio è in esecuzione di quello sarebbe perfetto, o rinominare la cartella e aggiungere i miei file, tuttavia non è il caso.
Ho anche pensato che potrei essere in grado di avviare, interrompere il servizio o cambiare il percorso per il servizio, ma non è consentito. Ho usato regedit per verificare l'autorizzazione del servizio per gli utenti di BuiltIn in sola lettura.