Paweł Goleń, blog

Zabawię się w pogromcę mitów... Dość często różni “znawcy” bezpieczeństwa Windows podają prosty przykład na uruchomienie programu z prawami użytkownika SYSTEM jako dowód na to, że system jest niebezpieczny. Problem w tym, że... nie jest to żadna podatność.

Metoda ta opiera się na wykorzystaniu polecenia at oraz Schedule service. Uruchomienie programu z prawami użytkownika SYSTEM jest proste, wystarczy wydać polecenie w stylu: at HH:MM /interactive cmd.exe , gdzie HH:MM oznacza godzinę, o której program (w tym przypadku konsola) ma się uruchomić. Program uruchamiany w ten sposób uruchamia się rzeczywiście z prawami SYSTEM. Problem? Nie bardzo: C:>at 07:51 /interactive cmd.exe Access is denied. Tak, zwykły użytkownik nie może skorzystać z at , a więc nie może eskalować swoich uprawnień do poziomu SYSTEM.

A co z administratorem? Przecież SYSTEM to więcej niż Administrator. Tak, ale:

• administrator ma prawo do instalacji usług, które mogą pracować z uprawnieniami SYSTEM,
• administrator ma prawo do instalacji sterowników urządzeń,

Sterowniki urządzeń pracują (zwykle) w trybie jądra, a to więcej niż praca z uprawnieniami SYSTEM.

Podsumowując – pokazywanie, że z poziomu administratora można uruchomić kod z prawami użytkownika SYSTEM może i jest trendy na podwórku forum, w praktyce jednak nie wnosi to NIC.

Oryginał tego wpisu dostępny jest pod adresem Mityczny “uprzywilejowany zegar”

Autor: Paweł Goleń