Privilèges sensibles dangereux

high

Description

Sous Windows, le moyen couramment utilisé pour déléguer des privilèges sur une ressource à un compte est réalisé au travers des autorisations. Mais il existe une autre fonctionnalité pour répondre à ce même besoin : les droits utilisateur. Microsoft fournit un ensemble de moyens permettant de rendre l'administration plus simple par ce biais (extinction d'un système, chargement d'un pilote logiciel, gestion des journaux d'évènements, etc.). Ces droits permettent de passer outre les restrictions imposées par les autorisations. Ainsi, même si des autorisations d'interdiction sont définies pour l'utilisateur, il pourra tout de même accéder à l'élément en question avec le droit adéquat. Cependant, certains de ces droits sont sensibles et peuvent fournir un moyen d'élévation de privilèges sur un système en fonction du paramétrage. Par exemple, un utilisateur pouvant installer un pilote logiciel pour l'un de ses périphériques (ex. clavier) pourrait également installer un pilote malveillant afin de s'attribuer des droits d'administration sur le système. Ainsi, les droits utilisateur les plus sensibles peuvent introduire un risque de sécurité sur le système sous-jacent. Un attaquant pourrait utiliser ce défaut de configuration afin de compromettre localement un système.

Solution

Des comptes et groupes non dédiés à l'administration ayant des privilèges sensibles définis peuvent introduire un risque de sécurité sur l'annuaire Active Directory. Ceci devrait être proscrit. De plus, la fonctionnalité dite UAC (User Account Control) ne devrait pas être désactivée.

Voir aussi

Rotten Potato - Privilege Escalation from Service Accounts to SYSTEM

Abusing Token Privileges For LPE (part 3.1)

PrintSpoofer - Abusing Impersonation Privileges on Windows 10 and Server 2019

Attribution des droits d'utilisateur

EnableLUA

Abusing Token Privileges For Windows Local Privilege Escalation

s(4)u for Windows

Détails de l'indicateur

Nom: Privilèges sensibles dangereux

Nom de code: C-DANGEROUS-SENSITIVE-PRIVILEGES

Niveau de gravité: High

Informations MITRE ATT&CK:

Tactiques: TA0004

Techniques: T1078

Outils connus des attaquants

Mimikatz

Rotten Potato NG

Poptoke