¿Cuáles son los privilegios de Windows que merecen atención para evitar que un usuario (no administrador) aumente sus privilegios al grupo de administración local? Sé SeDebugPrivilege, pero ¿qué más?
Gracias.
Edite para aclarar: estoy buscando una lista de privilegios que se pueden abusar durante los intentos de escalación. El objetivo es verificar los privilegios del usuario para evitar la escalada.
Aparte de SeDebugPrivilege, el otro privilegio principal que se utiliza durante los intentos de escalamiento es SeImpersonatePrivilege (aprovechado en herramientas como Incógnito ). Este privilegio puede permitir al usuario robar la suplantación y / o los tokens de delegación que están presentes en la máquina.
Dicho esto, hay una serie de privilegios administrativos que teóricamente tienen el potencial de ayudar durante los intentos de aumento de privilegios, entre ellos:
Una lista exhaustiva sería difícil de redactar, y no podría decir con un grado de certeza que no se pueda aprovechar de alguna manera el privilegio administrativo de cualquier .
Además, de manera similar a cómo se puede abusar de SeTakeOwnershipPrivilege y SeRestorePrivilege, un método común de escalación de Usuario de dominio que implica regularmente implica sobrescribir binarios u otro código que será ejecutado por una cuenta con privilegios más altos. Como tal, el acceso de escritura a los binarios de servicio, System32, el directorio de 'Inicio' de todos los usuarios, los ejecutables de la aplicación, etc., puede hacer que otras cuentas (sistema local, administradores) ejecuten el código de un atacante. Personalmente, he descubierto que los permisos de archivos mal configurados son un vector de ataque más común cuando se escalan desde usuarios básicos.
Una buena descripción general de los diferentes métodos, incluidos algunos de los anteriores: enlace
Lea otras preguntas en las etiquetas windows