Leí esta pregunta: ¿Es común permitir el acceso de administrador local para desarrolladores en organizaciones?
Esta pregunta me hace preguntarme. Puedo ver cómo el acceso de administrador local es un peligro para la máquina. Pero, ¿puede una computadora con una cuenta de usuario con acceso de administrador local ser un peligro mayor para una red configurada correctamente que una computadora que no tenga acceso de administrador local? Si es así, ¿cómo?
El acceso de administrador local significa que es más fácil para el atacante establecer un control persistente del host, instalar software y modificar la configuración del sistema, y realizar acciones como rastrear la red que pueden permitirle moverse lateralmente a otros sistemas.
Entonces, sí, es un peligro para la red, ya que proporciona al atacante un acceso más estable a una plataforma más capaz para el movimiento lateral.
Peligro es una palabra un poco fuerte. Yo diría que el acceso de administrador local presenta riesgos de red adicionales sobre el acceso de no administrador.
El acceso de administrador permite al usuario ejecutar un rastreador de paquetes en modo promiscuo. Eso puede presentar riesgos adicionales si la red en cuestión es vulnerable a los ataques de MiTM, u otra información confidencial sin cifrar pasa por la red.
Debe comprender este riesgo en el contexto de los usuarios que normalmente tienen acceso físico a la red. Un intruso malintencionado con acceso físico al cable de red podría simplemente conectar su propio dispositivo a la red a la que también tienen acceso de administrador / root, y detectar paquetes y realizar los mismos ataques sin acceso de root en su propia máquina.
Es mucho más peligroso de lo que la mayoría de la gente cree. Cuando debatimos cuánto podía hacer alguien desde un administrador local (cuenta local, no cuenta de dominio) en una máquina unida a un dominio, dije "¿Le gustaría averiguarlo?" Nadie lo hizo. Resultó que querían debatir la teoría pero no ponerla a prueba.
Argumenté sobre la otra pregunta sobre qué está defendiendo. Bueno, aquí está la cosa. La próxima vez que alguien más se conecte a la máquina en cuestión, el administrador local puede hacerse pasar por ese usuario. Si se trataba de un acceso compartido de red, la suplantación solo se puede utilizar durante unos minutos. Pero unos pocos segundos de administrador de dominio son suficientes para crear un servicio en un recurso compartido de red en el controlador de dominio.
En los viejos tiempos era estúpidamente peor. La máquina puede atacar con MITM a cualquier persona en la red que no esté específicamente defendida contra la suplantación de identidad. Hasta hace poco, este era el juego final, pero MS finalmente actuó y cerró SMB contra MITM al arreglar el paquete de autenticación y, de hecho, hacer un cambio incompatible hacia atrás para que se mantenga fijo.
Pero no permitir que el VLAN del desarrollador acceda a internet es estúpido. Quizás lo mejor que puede hacer es permitirles tener administrador en sus máquinas o máquinas virtuales, pero simplemente no unirse a ellos en el dominio.
Sin embargo, esto casi nunca aparece. La amenaza de ser despedido y enjuiciado evita que los desarrolladores hagan todo lo posible, y por alguna razón, el malware de Internet no utiliza estas cosas. Así que de nuevo, ¿contra qué estás realmente defendiéndote? Los desarrolladores probablemente pueden hacerse cargo de de todos modos . Tienes que instalar las actualizaciones de versión en la producción tarde o temprano.
Sí, es peligroso.
En 2014 tuve un caso que fue así:
utilman.exe , que es una aplicación de fácil acceso utilman.exe por cmd.exe (que también está firmado por Microsoft, por lo que una comprobación de firma no lo revela) Voilà, tiene una consola con NT Authority / System rights. Ahora puede espiar credenciales de procesos críticos como LSASS (por ejemplo, utilizando Mimikatz ). Si puede engañar a su administrador (ingeniería social) para que inicie sesión de forma remota en su PC, tiene sus credenciales.
Si no puede, solo instale un servicio que se ejecute con derechos del sistema también. Luego puede deshacer el truco y simplemente dejar que el servicio espere más tiempo para recopilar las credenciales por usted.
Parece que este no se ha corregido en Windows 10.
El acceso de administrador significa que puede ejecutar ciertas herramientas que requieren privilegios. Los rastreadores de paquetes son uno mencionado por otro. Otro ejemplo es un ARP-spoofer / envenenador para ataques MitM, o un imitador mDNS / NBT-NS (por ejemplo, Respondedor). En general, es más probable que cualquier herramienta que requiera acceso de red de bajo nivel o la capacidad de abrir ciertos puertos protegidos requiera acceso de administrador.
Además, ser un administrador local frente a un no administrador significa que podrás acceder a ciertas cosas en esa máquina que podrían permitirte pivotar hacia otras, por ejemplo. utilizando mimikatz para volcar las contraseñas de AD almacenadas, acceder al registro completo en Windows, instalar keyloggers de cuentas cruzadas (es decir, como un demonio / servicio), etc.
Sinceramente, es de la noche a la mañana, tener acceso de administrador a no; Es la razón por la que OSCP se enfoca tanto en la escalada de privilegios de aprendizaje, y no solo en obtener una posición inicial.
Bueno, solo un ejemplo. Supongamos que tiene una red razonablemente segura con un servidor de seguridad que permite el acceso completo de http / https desde los escritorios de los usuarios, y ningún otro acceso entrante o saliente desde esas máquinas, y algunos otros protocolos para servidores internos (DNS, correo, etc.)
Un administrador local puede configurar un proxy https desde su escritorio a un relé externo y usarlo para omitir completamente las reglas del firewall. Incluso se puede hacer por buenas porque permite seguir trabajando o haciendo pruebas desde casa. Pero simplemente derrota el objetivo del firewall corporativo ...
La respuesta a tu pregunta es "sí". El atacante puede convertir fácilmente la máquina en un zombi y realizar tareas maliciosas (con todos los derechos de administrador) en su red.
Uno de los ataques más difíciles de mitigar es el "Ataque interno". En su caso, está permitiendo que un atacante realice ataques desde su red interna con todos los derechos sobre un zombi (máquina comprometida ).
Depende de lo que quiere decir con "configurar correctamente la red".
Si configura su red para tratar a cada host en ella como potencialmente malvado, probablemente comprometido y una posible fuente de ataque, entonces el acceso de administrador local no es un peligro (que no esté esperando).
En el mundo real, cualquier red interna y la mayoría de las redes de centros de datos se configuran bajo el supuesto de cierto nivel de confianza , lo que significa que al menos son más confiables que el exterior / Internet.
La administración local desafía ese supuesto. Tenga en cuenta que dije "desafíos", no "saltos".
Debe preguntarse qué tan confiables son sus administradores locales, tanto en la escala de acción intencional como en la escala de errores y errores. Ese es ahora tu nivel de confianza en la red.
Lea otras preguntas en las etiquetas windows windows-server network-access-control