¿Es peligrosa una aplicación de consola con derechos de Autoridad / Sistema de NT?

Navega tus respuestas
0

Un desarrollador logró abrir una aplicación de consola con derechos de Autoridad / Sistema de NT en la pantalla de inicio antes de iniciar sesión.

Desde ese indicador de comando es posible ejecutar programas arbitrarios como el Bloc de notas, Internet Explorer e incluso el Explorador para obtener un menú de inicio.

Con esos derechos del sistema local, ¿es fácil adquirir derechos de administrador de dominio?

SO: Windows 7 SP1 x64

Actualizar

Así es como se hizo el "hack". Si lo buscas en google, parece bastante conocido. Para hacerlo, necesita derechos de administrador, que fueron otorgados a nuestro desarrollador.

  • Tomar posesión de Utilman.exe
  • Reemplace Utilman.exe por una copia de cmd.exe
  • Reinicia la PC para acceder a la pantalla de inicio de sesión
  • Haga clic en el icono de accesibilidad

¿Por qué diablos todos los sitios web de la lista "navegan por la web sin iniciar sesión" como uno de los casos de uso? Ninguno de los 10 sitios web principales proporciona una forma de solucionar este "problema de seguridad" (o como sea que deberíamos llamar a esto).

    
pregunta Thomas Weller 17.03.2014 - 22:06
fuente

3 respuestas

3

Además de las otras respuestas, en realidad hay una forma de obtener las credenciales de administrador del dominio. Una de las funciones de Windows es almacenar las credenciales durante un tiempo al abrir un inicio de sesión. Con los derechos locales / del sistema, realmente puede extraerlos de la memoria (fuera del proceso LSASS) usando una herramienta como Mimikatz .

El problema es que alguien que tiene derechos de administrador de dominio debe haber iniciado sesión en el sistema recientemente. A partir de ahí simplemente robas sus credenciales y administrador de dominio.

    
respondido por el Lucas Kauffman 18.03.2014 - 11:17
fuente
4

¿Qué tipo de aplicación es esta y cómo se ejecuta antes de iniciar sesión?
De hecho, si lo tuyo, una mejor pregunta sería: POR QUÉ si esta aplicación puede ejecutarse.

Sí, es muy peligroso.
Esto permite a los usuarios arbitrarios ejecutar el comando del sistema any . La cuenta de proceso se conoce como LocalSystem, que es la única cuenta local con más privilegios que el Administrador.
Esta aplicación puede hacer a.n.y.t.h.i.n.g. Cualquier cosa en este sistema: cambie la contraseña del administrador, instale servicios, adjunte a la memoria cualquier proceso, cualquier cosa. En el sistema este .

Además, dependiendo de la configuración, la aplicación LocalSystem probablemente podría autenticarse en otras máquinas en el dominio como la cuenta de computadora de la máquina. P.ej. para registrar cambios en ActiveDirectory, etc.

Sin embargo , una cosa específicamente que preguntaste sobre la adquisición de derechos de administrador de dominio. Esto no es tan simple (asumiendo que la aplicación no se está ejecutando en el DC), ya que estamos hablando de privilegios locales .
Entonces, mientras esa máquina está completamente violada (como en, quítela de órbita), el resto de su dominio es (relativamente) seguro. (bueno, al menos de esta aplicación).

    
respondido por el AviD 17.03.2014 - 22:16
fuente
0

Este exploit le da al usuario una forma de obtener el permiso LocalSystem , que es un poco más de lo que un admin puede hacer en esa máquina, pero aún así solo afecta al sistema en que se realizó ese hack.

Para usar este truco para obtener más derechos en su controlador de dominio , un atacante tendría que hacer esto en el controlador de dominio, que requiere derechos de administrador. Eso significa que el atacante ya debería saber la contraseña de administrador del DC. Cuando el atacante tiene acceso de administrador en el DC, ya pueden hacer todo tipo de cosas malvadas de todos modos, así que esto es lo menos de lo que preocuparse.

El "arreglo" para ese hack es simple: no le dé a los usuarios derechos de administrador. Déles cuentas de usuario normales y use políticas de grupo permisivas que les permitan hacer lo que sea necesario, pero no cambiar los archivos del sistema. Pero tenga en cuenta que el sistema de permisos forzados por software de cualquier se puede burlar cuando tenga acceso físico a la máquina. Por lo tanto, la "solución real" no es contratar a personas en las que no se pueda confiar.

    
respondido por el Philipp 18.03.2014 - 11:00
fuente

Lea otras preguntas en las etiquetas

¿Es necesario CAPTCHA cuando uso un token anti-CSRF? Shellshocking Webservers, ¿alguien sabe de un vector de ataque que no sea Headers?