機密性の高い危険な特権

high

言語:

説明

Windowsでは、リソースに関する特権のアカウントへの委任は通常、アクセス許可を介して行われます。しかし、同じことを行うために利用できる別の機能があります。それはユーザー権限です。Microsoft は、ユーザーに適用されるかどうかとは関係なく、アクセス許可の通過と基本的に同等の手段 (システムのシャットダウン、ドライバーの読み込み、セキュリティログの管理などを可能にする) の使用など、管理を容易にするためのさまざまな方法を提供しています。 ただし、こうした一部の権限は機密性が高く、一部の特定の環境のシステムで特権を昇格させる手段をユーザーに提供するような内容である可能性があります。 例えば、普通のユーザーが自分のデバイスの 1 つ (キーボードなど) のドライバーをインストールできる場合は、悪意のあるドライバーをインストールしてシステムに対する管理権限を取得する可能性もあります。

このように、機密性の高い特権のほとんどは、基礎となるシステムにセキュリティリスクをもたらす可能性があります。攻撃者によって、この設定ミスが利用され、システムがローカルで侵害される可能性があります。

ソリューション

機密性の高い特権が設定された非管理ユーザーおよびグループは、Active Directory にセキュリティリスクをもたらす可能性があるため、避ける必要があります。また、ユーザーアカウント制御と呼ばれる Windows 機能は無効にしないようにする必要があります。

参考資料

User Rights Assignment

EnableLUA

Abusing Token Privileges For Windows Local Privilege Escalation

Rotten Potato – Privilege Escalation from Service Accounts to SYSTEM

Abusing Token Privileges For LPE (part 3.1)

PrintSpoofer - Abusing Impersonation Privileges on Windows 10 and Server 2019

s(4)u for Windows (in french)

インジケーターの詳細

名前: 機密性の高い危険な特権

コード名: C-DANGEROUS-SENSITIVE-PRIVILEGES

深刻度: High

攻撃者の既知のツール

Mimikatz

Rotten Potato NG

Poptoke