Beveiligingsonderzoeker verkrijgt systeemrechten op Windows 10 S

Dan nog:
A) hij opende word met beheerdersrechten. Iets wat al niet 123 zomaar kan
hij zette het bestand op een veilige locatie waardoor protected view werd uitgeschakeld, belangrijk daarin: dan moet je ook nog eens het document zelf geschreven hebben. Bestanden die je download krijgen namelijk een flag mee van onveilig die blijft bestaan als je hem op een veilige plek zet. Die moet je dan eerst deblokkeren.

Laat hem eerst maar zien dat het kan via internet of gemaild bestand, dan praten we verder.

Maar zo lastig is het niet hoor om dat alsnog te krijgen. Ik heb ooit eens een tool geschreven om de distributed.net client over een windows netwerk op alle verbonden machines tre kunnen installeren, verwijderen en beheren. Daar gebruikte ik dat ook om de service als system te kunnen starten. Eens zoeken in de source code. Als je admin bent kun je zo system krijgen:
[code]
//------------------------------------------------------------------------------
// Handle any missing privileges
//------------------------------------------------------------------------------
bool __fastcall TAccountForm::HandlePrivs()
{
// See if the current user has SE_TCB_NAME (act as part of the OS)
bool hasSeTcbNameRight = CheckAccountPrivilege("SeTcbPrivilege");
// We first check if we can add this privilege. To add it we require
// admin rights. We assume only admins have SeTakeOwnershipPrivilege.
bool hasAdminRights = CheckAccountPrivilege("SeTakeOwnershipPrivilege");

if ( !hasSeTcbNameRight ) {
if ( !hasAdminRights ) {
MessageBox(NULL, "Your current account has insufficient rights to change the user context this program runs under!\nTo change this you should allow the current user to run as part of the operating system.\nTo add this privilege you require administrative rights, which you currently don't have.", Application->Title.c_str(), MB_OK|MB_ICONWARNING);
} else if ( MessageBox(NULL, "Your current account has insufficient rights to change the account this program runs under!\nTo change this you should allow the current user to run as part of the operating system.\nShall I try to add this privilege to your account now?", Application->Title.c_str(), MB_YESNO|MB_ICONWARNING) == IDYES ) {
hasSeTcbNameRight = AddAccountSeTcbPrivilege();
}
}
return hasSeTcbNameRight;
}

//------------------------------------------------------------------------------
// Add the SeTcbPrivilege to the current account.
//------------------------------------------------------------------------------
bool __fastcall TAccountForm::AddAccountSeTcbPrivilege()
{
bool result = false;
// Get SID of current account. This method allocates the memory to hold
// this SID so it should be freed later.
if ( GetCurrentSID(&fSid) ) {
if ( !AddTcbPrivilege(fSid) ) {
MessageBox(NULL, "The program failed to add the required privilege to your account.", Application->Title.c_str(), MB_OK);
} else {
result = true;
MessageBox(NULL, "The program added the required privilege to your account.\n\nYou need to logoff and login again or to reboot to make the changes take effect.", Application->Title.c_str(), MB_OK);
}
}
// Free memory allocated for SID.
if( fSid )
HeapFree(GetProcessHeap(), 0, fSid);

return result;
}

//------------------------------------------------------------------------------
// Add the SeTcbPrivilege to the user account. For this method to succeed the
// caller requires administrative rights.
//------------------------------------------------------------------------------
bool __fastcall TAccountForm::AddTcbPrivilege(void* psid)
{
NTSTATUS result = -1;
LSA_HANDLE hPolicy = 0;
LSA_UNICODE_STRING usPriv;
wchar_t str[32];

memset(str, 0, sizeof(str));
wcscpy(str, L"SeTcbPrivilege");
USHORT strLen = (USHORT)wcslen(str);

usPriv.Buffer = str;
usPriv.Length = (USHORT)(strLen * sizeof(wchar_t));
usPriv.MaximumLength = (USHORT)((strLen + 1) * sizeof(wchar_t));

LSA_OBJECT_ATTRIBUTES oa;
memset(&oa, 0, sizeof(oa));

DynamicLsaOpenPolicy(NULL, &oa, POLICY_LOOKUP_NAMES | POLICY_CREATE_ACCOUNT, &hPolicy);
if ( hPolicy ) {
result = DynamicLsaAddAccountRights(hPolicy, psid, &usPriv, 1);
DynamicLsaClose(hPolicy);
}
return (result == STATUS_SUCCESS);
}
[/code]

Edit: hoe krijg ik dit fatsoenlijk ingesprongen?

[Reactie gewijzigd door Morgan4321 op 23 juni 2017 18:55]

Ja, dat is nogal logisch. Als je Word uitvoert als admninistrator, wordt alles wat je vanuit Word start ook onder die credentials uitgevoerd.

Maar in de praktijk open je Word (of welke applicatie dan ook) nooit als admin, maar gewoon als normale user.

Ik vind dit bijzonder vergezocht allemaal.

Als je je doelwit echter eerst Word in admin-mode kan doen openen om daar dan vervolgens een besmet document in te laten openen dan kan je net zo goed meteen het slachtoffer overtuigen om je malware in admin-mode uit te voeren.

al zou dit volgens Hickey te automatiseren zijn met een uitgebreidere macro

Dit zou een interessanter deel zijn mocht hij dit daadwerkelijk voor elkaar krijgen.
Zelfs nagebootste muisklikken vanuit een user-mode programma worden namelijk niet doorgegeven aan toepassingen die als administrator lopen.
Maar goed, daar heeft hij vooralsnog geen proof of concept van, dus echt veel is er momenteel nog niet aan de hand.

Het duurde in totaal 3 uur dus eenvoudige macro zal het niet zijn.

Volgens mij verschillen de rechten tussen admin en system niet wezenlijk, het is er niet om jou rechten te onthouden maar om bepaalde processen en services toegang te verlenen wanneer er geen gebruiker ingelogd is, zoals tijdens een installatie of in het lock/loginschem. Daarom moet dit ook gescheiden gehouden worden en is het dus ook niet de bedoeling dat je daarbij kan, je hebt als admin al volledige bestandstoegang en windows klaagt volgens mij enkel als je met bestanden gerelateerd aan draaiende processen in de windows dir gaat zitten klooien, doe je dit vanuit een recovery omgeving oid dan kan het vaak weer wel met diezelfde admin rechten.

Als local admin is het niet moeilijk om system rechten te krijgen. INSSVC.EXE en RUNSVC.EXE zijn voldoende, CMD.exe als subprocess en je bent klaar. Zodra je Administrator bent kan je alles. Eventueel een VBS als service met de juiste systemcall exports er in voor stopService en startService en je bent er ook.

Als admin kun je zonder moeite system rechten krijgen. Is nooit een uitdaging geweest.

"Om het te openen, was het nodig om Word met beheerdersrechten te starten vanuit taakbeheer."
Wie start er nu Word via taakbeheer.

Nee, want die macro's worden dan uitgevoerd onder de user-credentials, en hebben dan geen toegang tot het systeem.

Volgens het artikel heeft hij Word met beheerdersrechten gestart (wat in de praktijk dus niemand doet), en meldt vervolgens dat hij beheerdersrechten heeft. Ja, nogal logisch...

En beheerdersrechten forceren vanuit een macro, zoals hij stelt, zou ik knap vinden., Hoe ziet hij dat voor zich dan, met dingen als UAC etc ertussen die dat gaan dwarsbomen?

Wordt anders (ook) niet beweerd...

niet kwetsbaar is voor bekende vormen van ransomware

_{betekent iets anders dan jouw bewering}