¿Cuál es el riesgo principal de permitir que los servicios inicien sesión como NT AUTHORITY \ SYSTEM?

El peor escenario

Cuando un atacante explota una aplicación para ejecutar código arbitrario, este código se ejecutará en el contexto (y, por lo tanto, en los privilegios) de la aplicación explotada. Entonces, si el servicio que se ejecuta como SISTEMA tiene un puerto de escucha y se puede explotar desde Internet o la red, el atacante puede hacer prácticamente cualquier cosa en la computadora, incluso agregar nuevas cuentas de administrador o eliminar contraseñas y certificados usando mimikatz

Ampliación de privilegios

Si la aplicación no está escuchando en un puerto, o no se puede explotar con ese puerto, entonces el servicio podría permitir que el atacante elevar privilegios . esto requiere que el atacante tenga primero un acceso con privilegios más bajos, como explotar una aplicación o usuario con privilegios más bajos.

Para atacar el servicio de esta manera, el atacante generalmente debe buscar configuraciones erróneas en el servicio en sí, en lugar de en la aplicación. Puede intentar editar el archivo binario (archivo exe) de la aplicación y luego reiniciar el servicio, probar y editar la ruta del servicio (por lo tanto, editar qué archivo ejecutable se ejecuta cuando se inicia el servicio). O puede probar secuestro de DLL solo por nombrar algunos.

Si uno de estos ataques tiene éxito, puede ejecutar código en el contexto de la aplicación y, por lo tanto, como SISTEMA. Para minimizar este riesgo, ejecute las aplicaciones con la menor cantidad de privilegios necesarios posibles, si el servicio no necesita ejecutar un SISTEMA, hacerlo implica un riesgo de seguridad innecesario.