Un'applicazione console con diritti NT Authority / System è pericolosa?

1

Uno sviluppatore è riuscito ad aprire un'applicazione console con i diritti di autorità / sistema NT nella schermata di avvio prima di accedere.

Da quel prompt dei comandi è possibile eseguire programmi arbitrari come Blocco note, Internet Explorer e persino Explorer per ottenere un menu di avvio.

Con questi diritti di sistema locali, è facile acquisire i diritti di amministratore di dominio?

Sistema operativo: Windows 7 SP1 x64

Aggiorna

Questo è come è stato fatto il "hack". Se cerchi google, sembra abbastanza noto. Per farlo, hai bisogno dei diritti di amministratore, che sono stati concessi al nostro sviluppatore.

  • Diventa proprietario di Utilman.exe
  • Sostituisci Utilman.exe con una copia di cmd.exe
  • Riavvia il PC per accedere alla schermata di accesso
  • Fai clic sull'icona di accessibilità

Perché diavolo tutti gli elenchi dei siti web "navigano sul web senza accedere" come uno dei casi d'uso? Nessuno dei primi 10 siti web fornisce un modo per risolvere questo "problema di sicurezza" (o come dovremmo chiamarlo).

    
posta Thomas Weller 17.03.2014 - 22:06
fonte

3 risposte

4

Oltre alle altre risposte, c'è in realtà un modo per acquisire le credenziali di amministratore del dominio. Una delle funzioni di Windows consiste nel memorizzare le credenziali per un po 'durante l'apertura di un accesso. Con i diritti Local / System puoi effettivamente estrarli dalla memoria (fuori dal processo LSASS) usando uno strumento come Mimikatz .

Il problema è che qualcuno che ha i diritti di amministratore di dominio deve aver effettuato l'accesso di recente al sistema. Da lì hai appena rubato le sue credenziali e il poof amministratore di dominio.

    
risposta data 18.03.2014 - 11:17
fonte
5

Che tipo di applicazione è questa e come viene eseguita prima di accedere?
In realtà, gratta quello, una domanda migliore sarebbe: PERCHÉ è consentita l'esecuzione di questa applicazione.

Sì, è molto pericoloso.
Ciò consente agli utenti arbitrari di eseguire il comando di sistema qualsiasi . L'account di processo è noto come LocalSystem, che è l'unico account locale con più privilegi dell'amministratore.
Questa applicazione può fare a.n.y.t.h.i.n.g. Qualsiasi cosa su questo sistema: cambiare la password dell'amministratore, installare servizi, allegare alla memoria di qualsiasi processo, qualsiasi cosa. Su questo sistema.

Inoltre, a seconda della configurazione, l'applicazione LocalSystem potrebbe probabilmente autenticare altre macchine nel dominio come account computer della macchina. Per esempio. per registrare le modifiche in ActiveDirectory, ecc.

Tuttavia , una cosa che hai specificamente chiesto riguardo all'acquisizione dei diritti di amministratore di dominio. Questo non è così semplice (supponendo che l'applicazione non sia in esecuzione sulla DC), visto che stiamo parlando dei privilegi local .
Quindi, mentre quella macchina è completamente violata (come in, nuke dall'orbita), il resto del tuo dominio è (relativamente) sicuro. (beh, almeno da questa applicazione).

    
risposta data 17.03.2014 - 22:16
fonte
0

Questo exploit offre all'utente un modo per ottenere il permesso LocalSystem , che è un po 'più di un admin che può fare su quella macchina, ma ha comunque effetto solo sul sistema quale hack è stato eseguito.

Per utilizzare questo trucco per ottenere più diritti sul tuo controller di dominio , un utente malintenzionato dovrebbe eseguire questo su il controller di dominio, che richiede diritti di amministratore. Ciò significa che l'utente malintenzionato dovrebbe già conoscere la password di amministratore del controller di dominio. Quando l'utente malintenzionato ha accesso amministrativo sul controller di dominio, può comunque eseguire qualsiasi tipo di azione malvagia, quindi questa è l'ultima cosa di cui preoccuparsi.

La "correzione" per quell'hack è semplice: non dare agli utenti i diritti di amministratore. Fornisci loro account utente normali e utilizza politiche di gruppo permissive che consentono loro di fare tutto ciò che devono fare, ma non di modificare i file di sistema. Tuttavia, tieni presente che il sistema di autorizzazione forzata del software qualsiasi può essere aggirato quando si dispone dell'accesso fisico alla macchina. Quindi la "vera soluzione" non è assumere persone di cui non ti puoi fidare.

    
risposta data 18.03.2014 - 11:00
fonte

Leggi altre domande sui tag