¿Qué puede hacer alguien con el indicador de comando (no administrador) en una red?

Navega tus respuestas
2

Supongamos que una organización tiene una red cerrada, solo sus propias computadoras pueden acceder a ella. Cada una de estas computadoras tiene Windows 10 Enterprise. Por razones obvias, los usuarios no tienen privilegios de administrador. Cualquier persona dentro de la organización puede obtener fácilmente acceso físico a uno de estos dispositivos. La organización es lo suficientemente grande (piense en la universidad o en una gran corporación) para que no se pueda confiar en los usuarios.

¿Cuáles son las ventajas de bloquear cmd.exe ? Es decir, ¿qué podría hacer un usuario (omitir filtros, infectar otros dispositivos, instalar software no aprobado, etc.) desde un Indicador de comando no elevado que no podrían hacer sin él?

Ninguna red es completamente segura, especialmente si los piratas informáticos potenciales tienen acceso físico, pero quiero saber cuánta diferencia marcaría el Símbolo del sistema.

Supongo que PowerShell y los programas de terceros como Git Bash tendrían más o menos la misma seguridad, pero si hay diferencias significativas, sería útil saberlo.

    
pregunta Leo Wilson 05.12.2018 - 01:49
fuente

2 respuestas

5

No hay nada que puedas hacer con cmd que no puedas hacer con cualquier otro programa, excepto ejecutar cmd . Esto realmente romperá algunos programas maliciosos que específicamente intentan invocar cmd sin tener alternativas a otros shells, pero también romperá algunos programas legítimos que usan funciones como system o, de lo contrario, generan procesos cmd . En general, cmd no es un objetivo bien favorecido para las cargas útiles de ataque, su lenguaje de scripting es débil y un problema para el código, y el powershell más capaz ahora se puede esperar en prácticamente todas las instalaciones de Windows, pero sigue siendo el shell predeterminado y, por lo tanto, algunas cosas lo usarán de forma predeterminada. Si el atacante ya tiene la capacidad de ejecutar el código arbitrario otro que cmd , la capacidad de presencia o ausencia para ejecutar cmd en sí misma es casi irrelevante.

Si la mayoría del software está bloqueado (incluso las cosas que no requieren administración), es decir, si el software está en la lista blanca en lugar de en la lista negra, entonces cmd puede hacer una diferencia. Facilita algunas cosas moderadamente difíciles como la creación de enlaces simbólicos, enlaces duros y uniones (a través de su mklink incorporado), y su lenguaje de scripting, por terrible que sea, es mejor que nada en el caso de que powershell , WSH ( cscript o wscript ), etc., se bloquean y también se ejecutan ejecutables arbitrarios descargados, compilados o remotos. Un ataque que quisiera hacer algo así podría fallar si el sistema estuviera suficientemente bloqueado. Sin embargo, la mayor parte de lo que cmd puede hacer es algo redundante (y en realidad no puede hacer mucho). Como es probable que todavía esté disponible algún otro software (como explorer , el shell gráfico de Windows), la mayoría de las operaciones básicas del shell (navegar por el sistema de archivos, copiar / mover / eliminar archivos, iniciar programas, configurar metadatos de archivos, acceder a variables de entorno, Probablemente estaría disponible sin cmd , y cosas similares como la edición de archivos probablemente estarán disponibles a través de notepad o algún otro editor. La ejecución de programas de línea de comandos (como reg , la utilidad de registro de línea de comandos) no requiere cmd ; se pueden invocar (con argumentos arbitrarios) desde explorer .

    
respondido por el CBHacking 05.12.2018 - 03:38
fuente
-1

Un usuario podría descargar mIRC y ejecutar cmd con privilegios de administrador a través de un comando / dde, por ejemplo.

    
respondido por el Federico 05.12.2018 - 01:59
fuente

Lea otras preguntas en las etiquetas

¿Debería preocuparse una tienda de TI de Windows por habilitar WSL para los usuarios? ¿Son varios los contenedores encriptados con la misma contraseña que contienen los mismos archivos un riesgo criptográfico?