¿Cómo es posible que un virus pueda infectar el sistema si el navegador se inicia con derechos no administrativos?

4

Si abro mi navegador web (por ejemplo, firefox) en Windows 7 con UAC activado como usuario normal (no administrador), un virus, que usa una fuga de seguridad en mi navegador, solo tendrá privilegios del usuario normal que inició el navegador.

Si el Virus usa una fuga en el flash player, ¿cómo es posible que el virus se pueda instalar en el sistema en lugares donde se necesitan derechos de administrador? ¿Flash Player se ejecuta con derechos de administrador (si el navegador solo se ejecuta con derechos de usuario)?

Si no es así, ¿cómo es posible que un virus penetre en el sistema a través de una fuga de flash player si no se ejecuta con derechos de administrador?

    
pregunta Jan Koester 21.01.2013 - 00:33
fuente

3 respuestas

9

Ningún virus es posible si el navegador no tiene ningún error.

No es posible escalar los derechos de administrador si el sistema operativo no tiene errores.

Desafortunadamente, los errores ocurren ... tanto en el sistema operativo como en el navegador. Las vulnerabilidades que permiten que un proceso que no es de administrador obtenga derechos de administrador (por ejemplo, éste ) son bastante comunes , y generalmente se asume que atravesar el navegador es una parte compleja, no obtener derechos de administrador. Además, con "solo" los derechos del usuario que ejecuta el navegador, el malware puede saquear sus cookies y sus datos, y capturar las contraseñas de su sitio cuando las escribe; esto ya es bastante perjudicial.

    
respondido por el Thomas Pornin 21.01.2013 - 01:07
fuente
3

Dependiendo de lo que pretende hacer la carga útil del virus, la escalada del administrador y la infección del sistema operativo ni siquiera son necesarias para que haga su trabajo. Muchas cosas en las que está interesado el software de crimeware suceden en UserSpace, por lo que todo lo que necesita es acceso a la cuenta y sesión del usuario para obtener la mayoría de las credenciales de transacciones bancarias y luego ponerse en contacto con comando y control a través de HTTP / HTTPS.

Si los creadores desean enraizarlo más profundamente, necesitan engañarlo para que evite UAC o usar exploits que les permitan salir del vector de ataque de elección (Flash, Java, vulnerabilidad del SO) para ejecutar Shellcode con Los derechos de administrador o desbordamiento de búfer / stackspray ellos mismos en código de ejecución con derechos de sistema. Tenga en cuenta que no es necesario que el código vulnerable se ejecute como administrador, sistema o servicio, simplemente debe tener una vulnerabilidad que se ejecute alrededor de la seguridad.

    
respondido por el Fiasco Labs 21.01.2013 - 01:38
fuente
0

Una infección de un sistema remoto, ya sea un navegador que navega en las páginas equivocadas o un servidor pirateado a través de una solicitud con formato incorrecto, generalmente requiere 2 pasos. Has descrito el primero. El navegador necesita estar lleno de errores. Consulte esta pregunta relacionada .

El segundo paso se llama "escalada de privilegios". Por lo general, esto se refiere al proceso de "escalar" sus privilegios de sistema operativo a administrador local o raíz. En algunos casos, esto no es necesario porque el proceso infectado ya se ejecuta como admin / root. Pero estaba preguntando específicamente qué sucede si el proceso de secuestro tiene solo privilegios limitados. Existen numerosos vectores de ataque para la escalada de privilegios. Errores en el sistema operativo es solo uno, yo diría que no es el más importante. Aquí hay otros populares (para Windows):

  • Servicios mal protegidos (uno muy popular, si el servicio se puede escribir para todas las personas, cambie el exe a uno de su elección y cambie el usuario para que se ejecute en "Sistema local")
  • Errores en servicios que no son del sistema operativo que se ejecutan con derechos del sistema local (como controladores de dispositivo, hay 100ds de ejemplo para este)
  • El famoso c: \ archivos de programa .... \ algo exe. Si la ruta no está citada, el atacante puede crear c: \ program.exe y cuando se reinicia el servicio, se ejecuta c: \ program.exe.
respondido por el kaidentity 13.01.2017 - 19:13
fuente

Lea otras preguntas en las etiquetas