Muchas empresas ejecutan el servicio en servidores de producción como SISTEMA sin considerar el riesgo que puede surgir de esta configuración, ¿cuál es el mayor riesgo asociado con ella? y ¿cómo explotarían los atacantes este tipo de configuración?
Muchas empresas ejecutan el servicio en servidores de producción como SISTEMA sin considerar el riesgo que puede surgir de esta configuración, ¿cuál es el mayor riesgo asociado con ella? y ¿cómo explotarían los atacantes este tipo de configuración?
El peor escenario
Cuando un atacante explota una aplicación para ejecutar código arbitrario, este código se ejecutará en el contexto (y, por lo tanto, en los privilegios) de la aplicación explotada. Entonces, si el servicio que se ejecuta como SISTEMA tiene un puerto de escucha y se puede explotar desde Internet o la red, el atacante puede hacer prácticamente cualquier cosa en la computadora, incluso agregar nuevas cuentas de administrador o eliminar contraseñas y certificados usando mimikatz
Ampliación de privilegios
Si la aplicación no está escuchando en un puerto, o no se puede explotar con ese puerto, entonces el servicio podría permitir que el atacante elevar privilegios . esto requiere que el atacante tenga primero un acceso con privilegios más bajos, como explotar una aplicación o usuario con privilegios más bajos.
Para atacar el servicio de esta manera, el atacante generalmente debe buscar configuraciones erróneas en el servicio en sí, en lugar de en la aplicación. Puede intentar editar el archivo binario (archivo exe) de la aplicación y luego reiniciar el servicio, probar y editar la ruta del servicio (por lo tanto, editar qué archivo ejecutable se ejecuta cuando se inicia el servicio). O puede probar secuestro de DLL solo por nombrar algunos.
Si uno de estos ataques tiene éxito, puede ejecutar código en el contexto de la aplicación y, por lo tanto, como SISTEMA. Para minimizar este riesgo, ejecute las aplicaciones con la menor cantidad de privilegios necesarios posibles, si el servicio no necesita ejecutar un SISTEMA, hacerlo implica un riesgo de seguridad innecesario.
Lea otras preguntas en las etiquetas windows-permissions windows windows-server