Windows Ayrıcalık İstismarı: SYSTEM'e Giden Kısa Yol
Windows'ta SeImpersonatePrivilege gibi ayrıcalıkların SYSTEM yetkisine nasıl dönüştürüldüğünü, Potato saldırılarını ve savunma stratejilerini ele alıyoruz.
Bu analiz, Windows ortamlarında saldırganların düşük yetkili hesaplardan NT AUTHORITY\SYSTEM seviyesine nasıl yükseldiğini inceliyor. Andrea Pierini'nin yıllar süren araştırması, token manipülasyonundan Potato ailesi istismarlarına kadar uzanan bir dizi teknikle SeImpersonatePrivilege ve SeAssignPrimaryTokenPrivilege gibi ayrıcalıkların nasıl silahlaştırıldığını ortaya koyuyor.
Windows'ta ayrıcalıklar, ACL tabanlı izin modelinden bağımsız çalışan ve bazen onu geçersiz kılan bir mekanizmadır. Microsoft, meşru şekilde sahip olunan bir ayrıcalığın kötüye kullanılmasını güvenlik sınırı ihlali olarak görmediği için bu teknikler yamalanmıyor; bu da onları on yıldır geçerliliğini koruyan kalıcı riskler haline getiriyor. Servis hesapları, yönetilen hizmet hesapları ve IIS gibi üçüncü taraf uygulama kullanıcıları genellikle ihtiyaç duyduklarından fazla ayrıcalıkla yapılandırılıyor.
Mühendisler için asıl önemli nokta, yerel bir ayrıcalık yükseltmenin genellikle tam alan ele geçirmenin başlangıç noktası olması. RDP sunucuları veya atlama sunucuları gibi paylaşılan sistemlerde bu risk daha da büyüyor. whoami /priv çıktısında beklenenden fazla etkin ayrıcalık görülmesi, savunmanın yama odaklı değil mimari düzeyde yeniden ele alınması gerektiğinin bir işareti.