Un'applicazione console con diritti NT Authority / System è pericolosa?

Oltre alle altre risposte, c'è in realtà un modo per acquisire le credenziali di amministratore del dominio. Una delle funzioni di Windows consiste nel memorizzare le credenziali per un po 'durante l'apertura di un accesso. Con i diritti Local / System puoi effettivamente estrarli dalla memoria (fuori dal processo LSASS) usando uno strumento come Mimikatz .

Il problema è che qualcuno che ha i diritti di amministratore di dominio deve aver effettuato l'accesso di recente al sistema. Da lì hai appena rubato le sue credenziali e il poof amministratore di dominio.

Che tipo di applicazione è questa e come viene eseguita prima di accedere?
In realtà, gratta quello, una domanda migliore sarebbe: PERCHÉ è consentita l'esecuzione di questa applicazione.

Sì, è molto pericoloso.
Ciò consente agli utenti arbitrari di eseguire il comando di sistema qualsiasi . L'account di processo è noto come LocalSystem, che è l'unico account locale con più privilegi dell'amministratore.
Questa applicazione può fare a.n.y.t.h.i.n.g. Qualsiasi cosa su questo sistema: cambiare la password dell'amministratore, installare servizi, allegare alla memoria di qualsiasi processo, qualsiasi cosa. Su questo sistema.

Inoltre, a seconda della configurazione, l'applicazione LocalSystem potrebbe probabilmente autenticare altre macchine nel dominio come account computer della macchina. Per esempio. per registrare le modifiche in ActiveDirectory, ecc.

Tuttavia , una cosa che hai specificamente chiesto riguardo all'acquisizione dei diritti di amministratore di dominio. Questo non è così semplice (supponendo che l'applicazione non sia in esecuzione sulla DC), visto che stiamo parlando dei privilegi local .
Quindi, mentre quella macchina è completamente violata (come in, nuke dall'orbita), il resto del tuo dominio è (relativamente) sicuro. (beh, almeno da questa applicazione).

Questo exploit offre all'utente un modo per ottenere il permesso LocalSystem , che è un po 'più di un admin che può fare su quella macchina, ma ha comunque effetto solo sul sistema quale hack è stato eseguito.

Per utilizzare questo trucco per ottenere più diritti sul tuo controller di dominio , un utente malintenzionato dovrebbe eseguire questo su il controller di dominio, che richiede diritti di amministratore. Ciò significa che l'utente malintenzionato dovrebbe già conoscere la password di amministratore del controller di dominio. Quando l'utente malintenzionato ha accesso amministrativo sul controller di dominio, può comunque eseguire qualsiasi tipo di azione malvagia, quindi questa è l'ultima cosa di cui preoccuparsi.

La "correzione" per quell'hack è semplice: non dare agli utenti i diritti di amministratore. Fornisci loro account utente normali e utilizza politiche di gruppo permissive che consentono loro di fare tutto ciò che devono fare, ma non di modificare i file di sistema. Tuttavia, tieni presente che il sistema di autorizzazione forzata del software qualsiasi può essere aggirato quando si dispone dell'accesso fisico alla macchina. Quindi la "vera soluzione" non è assumere persone di cui non ti puoi fidare.