Seguridad de los procesos de Windows usando "Ejecutar como un usuario diferente"

5

He luchado para encontrar mucha información sobre este tema. Lo que me interesa es lo siguiente:

Escenario
Un usuario ha iniciado sesión en una estación de trabajo de Windows (7, 8.1, etc.) como una cuenta no administrativa estándar. Luego, usan el método Shift-Right Click para iniciar otro proceso como una cuenta elevada (por ejemplo, administrador de dominio, administrador local, etc.)

Pregunta
Si esa estación de trabajo se infectara con Malware, ¿qué nivel de permisos tendría ese malware con el potencial real de explotar? ¿Se limitaría a la cuenta no administrativa que inició sesión, o tendría la posibilidad de aprovechar también cualquier proceso elevado que pueda estar disponible? Además, ¿qué tan diferente sería esto de las operaciones estándar de UAC?

El propósito de la pregunta es determinar qué tan eficaz es la ejecución como un no administrador mientras se elevan varios procesos contra el malware.

    
pregunta TokinRing 28.01.2016 - 04:25
fuente

2 respuestas

4

Se ha dicho tantas variables a esta pregunta, pero daré algunos escenarios.

Escenario 1: La máquina del usuario se ha infectado con un "virus.exe" que se ejecuta en el contexto del usuario "TokinRing" que no es una cuenta de administrador. Decidió ejecutar una aplicación "cool.exe" como cuenta de administrador. La seguridad predeterminada de Windows para "virus.exe" no impedirá el uso de API como OpenProcess, SendMessage, etc. contra "cool.exe", ya que se ejecuta bajo permisos más altos.

Sin embargo, si "cool.exe" está usando es vunerable para el desbordamiento de búfer que puede ser influenciado por una cuenta no administrativa. Entonces, digamos que "cool.exe" lee un archivo en el que cualquier usuario puede escribir. Si "virus.exe" crea un archivo para provocar un desbordamiento del búfer y ejecutar Shellcode para hacer cualquier cosa bajo un proceso de permisos más alto.

Escenario 2: La máquina del usuario ha sido infectada por un "virus.exe" que se ejecuta en el contexto del administrador / sistema que este virus puede ejecutar en cualquier proceso del sistema y podría suplantar a cualquier usuario local.

Si pudiera hacer su pregunta más específica, con mucho gusto le daría una respuesta mucho más profunda.

    
respondido por el Paul 28.01.2016 - 11:45
fuente
1

Eso depende mucho del proceso que se utiliza para llevar a cabo la explotación. Si el proceso de privilegios elevados es el que se está utilizando, cualquier código de shell que se inyecte en el espacio de direcciones lógicas tendrá privilegios de administrador.

Por lo tanto, si un usuario normal se inicia, por ejemplo, Firefox como administrador y detecta un malware utilizando el disco por descarga, el exploit tendrá acceso al anillo 0. Esa es también la razón por la que casi siempre es una mala idea ejecutar algo innecesario como administrador.

    
respondido por el AdHominem 28.01.2016 - 07:58
fuente

Lea otras preguntas en las etiquetas