存在风险的敏感特权

high

描述

Windows 有两种方法来为帐户授予资源的访问特权:权限和用户权限。用户权限由 Microsoft 提供,可以简化系统关闭、驱动程序加载或安全日志管理等管理任务。用户权限与权限类似,但并非特定于用户,并且可以全局应用于具有执行任务权限的任何人。

敏感用户权限有时允许用户在系统上获得更高的特权。例如,用户如果可以安装设备(如键盘)驱动程序,便可能会安装恶意驱动程序从而导致攻击者获得系统的管理权限。这样做会带来安全风险,攻击者可能会利用这种错误配置对系统发动本地攻击。

解决方案

避免将敏感权限分配给非管理用户和组,以防止 Active Directory 中出现安全风险。请勿在 Windows 中禁用“用户帐户控制”(UAC) 功能。

另见

用户权限分配

EnableLUA

Abusing Token Privileges For Windows Local Privilege Escalation

Rotten Potato - Privilege Escalation from Service Accounts to SYSTEM

Abusing Token Privileges For LPE (part 3.1)

PrintSpoofer - Abusing Impersonation Privileges on Windows 10 and Server 2019

Windows 版 s(4)u(法语版)

指标详细信息

名称: 存在风险的敏感特权

代码名称: C-DANGEROUS-SENSITIVE-PRIVILEGES

严重程度: High

MITRE ATT&CK 信息:

攻击者已知工具

Mimikatz

Rotten Potato NG

Poptoke