PrivEsc For Windows

La escalación de privilegios es una técnica esencial en el ámbito de la ciberseguridad, particularmente en el contexto de pruebas de penetración y actividades de red teaming. En Windows, esta técnica permite a los atacantes o pentesters obtener mayores niveles de acceso, lo que les proporciona el control total sobre el sistema. Este texto explora la necesidad de escalar privilegios en Windows, la importancia del usuario NT AUTHORITY\SYSTEM, los diferentes tipos de privilegios en Windows, y las técnicas más comunes utilizadas para escalar privilegios.

Necesidad de Escalar Privilegios en Windows

Escalar privilegios en Windows es fundamental porque la mayoría de los ataques exitosos dependen de obtener acceso a niveles superiores de control. Esto se debe a varias razones:

1. Acceso Completo al Sistema: Con privilegios elevados, un atacante puede instalar y ejecutar cualquier software, modificar o eliminar archivos, y alterar configuraciones del sistema sin restricciones.

2. Persistencia: Los atacantes pueden establecer mecanismos para mantener acceso persistente al sistema, incluso después de reinicios o intentos de limpieza.

3. Movimiento Lateral: Los privilegios elevados permiten a los atacantes moverse lateralmente dentro de una red para comprometer otros sistemas.

NT AUTHORITY\SYSTEM

El usuario NT AUTHORITY\SYSTEM es la cuenta más privilegiada en un sistema Windows. Equivale al usuario root en sistemas Unix/Linux y tiene control total sobre el sistema operativo.

• Privilegios: Puede acceder y modificar cualquier recurso del sistema, incluyendo archivos, procesos, y servicios.

• Importancia: Obtener acceso como SYSTEM permite a un atacante tener control absoluto y hacer cambios que otros usuarios, incluso administradores, no pueden realizar.

Privilegios en Windows: Archivos y Usuarios

Privilegios de Archivos

En Windows, los privilegios de archivos se gestionan mediante permisos de sistema de archivos NTFS. Estos permisos determinan quién puede leer, escribir, ejecutar o modificar archivos y carpetas.

• Tipos de Permisos: Full Control, Modify, Read & Execute, List Folder Contents, Read, Write.

• Listas de Control de Acceso (ACL): Utilizadas para definir los permisos asignados a cada usuario o grupo sobre un archivo o carpeta.

Privilegios de Usuarios

Los privilegios de usuarios en Windows se asignan mediante roles y grupos de seguridad.

• Usuarios Estándar: Tienen permisos limitados y no pueden realizar cambios que afecten a otros usuarios o al sistema operativo.

• Administradores: Tienen permisos elevados, incluyendo la instalación de software, configuración del sistema y acceso a la mayoría de los archivos.

• SYSTEM: Como se mencionó, tiene el control total del sistema.

Diferencias entre Escalación Local de Usuario y Escalación en Active Directory

Escalación Local de Usuario

• Definición: Obtención de privilegios elevados en un único sistema.

• Objetivo: Convertirse en administrador o SYSTEM en ese sistema específico.

• Técnicas Comunes: Explotación de vulnerabilidades locales, abuso de configuraciones de UAC, inyección de DLL, etc.

Escalación en Active Directory

• Definición: Obtención de privilegios elevados en un entorno de red basado en Active Directory (AD).

• Objetivo: Convertirse en un administrador de dominio, lo que otorga control sobre todos los sistemas y usuarios dentro del dominio.

• Técnicas Comunes: Abuso de credenciales de dominio, explotación de vulnerabilidades en servidores de AD, ataques Pass-the-Hash y Golden Ticket.

Tokens de Altos Privilegios

En Windows, los tokens son objetos de seguridad que contienen información sobre los permisos y privilegios de un usuario.

• Tokens de Acceso: Son utilizados para determinar los permisos que tiene un proceso en particular.

• Impersonation Tokens: Permiten que un proceso ejecute acciones en nombre de otro usuario, a menudo usado para tareas administrativas.

• Técnicas de Abuso de Tokens: Los atacantes pueden robar o manipular tokens de usuarios privilegiados para escalar sus propios privilegios.

Técnicas Comunes de Escalación de Privilegios en Windows

1. Abuso de Servicios de Windows

   • Descripción: Modificar servicios configurados incorrectamente para ejecutar código malicioso con privilegios elevados.

   • Herramientas: sc, net start, y PowerSploit.

2. Inyección de DLL

   • Descripción: Cargar una DLL maliciosa en un proceso privilegiado.

   • Técnicas: Modificación de entradas de registro o abuso de procesos confiables.

3. Exploits Conocidos

   • Descripción: Utilizar vulnerabilidades específicas de Windows para obtener privilegios elevados.

   • Ejemplos: MS16-032, MS17-010 (EternalBlue).

4. Manipulación de Archivos y Directorios

   • Descripción: Explotar permisos incorrectos en archivos y directorios para ejecutar código con privilegios elevados.

   • Herramientas: ICACLS, PowerUp.

5. Token Impersonation

   • Descripción: Robar o manipular tokens de usuarios con altos privilegios para ejecutar comandos en su nombre.

   • Herramientas: Mimikatz.

6. UAC Bypass

   • Descripción: Bypassear el User Account Control (UAC) para ejecutar procesos con privilegios elevados sin que se soliciten credenciales.

   • Técnicas: Utilización de aplicaciones de confianza o configuraciones incorrectas de UAC.