¿Cuáles son los privilegios que otorgados a los usuarios, pueden representar un riesgo desde el punto de vista de seguridad?

  • Article

Hola a todos,

En algunas ocasiones nos hacéis llegar dudas con respecto a las acciones que van a poder realizar los usuarios o grupos a los que se les han otorgado ciertos privilegios para que determinas aplicaciones o servicios funcionen correctamente según las instrucciones de configuración facilitadas por el fabricante. Las principales dudas vienen con respecto a la seguridad y si por el hecho de otorgar los privilegios a los usuarios o grupos van a poder realizar cierto tipos de acciones o modificaciones de configuración en los equipos donde han sido configurados.

Es importante que tengáis en cuenta que existe un grupo de privilegios a nivel de Sistema Operativo denominados “Súper Privilegios”. En este grupo se encuentran aquellos privilegios cuya obtención indebida podría suponer riesgo “elevado” de seguridad. Los usuarios a los que se le otorga este tipo de privilegios podrían permitirle realizar cualquier tipo de acción sobre la máquina. En este caso el usuario pasaría tener control total sobre el equipo llegando a ser lo que se conoce como “Súper Usuario”.  

 En la lista de los “Súper Privilegios” se encuentran los siguientes:

· Debug Programs: Un usuario con dicho privilegio puede abrir cualquier proceso en el sistema sin tener en cuenta el Security Descriptor del proceso.  

· Take Ownership: Este privilegio permite tomar posesión de cualquier objeto escribiendo su propio SID en el campo Propietario del Security Descriptor del objeto. 

· Restore files and directories: Se permite reemplazar cualquier fichero del sistema en el sistema. 

· Load and unload device drivers: Los drivers son considerados como “trusted parts” del Sistema Operativo que pueden ser ejecutados con las credenciales de System.

· Create a token object: Puede ser utilizado para crear tokens de seguridad que representen cuentas de usuarios, su membresía de grupos y privilegios otorgados a dichos usuarios.

· Act as part of operating system: La función LsaRegisterLogonProcess , a la que los procesos llaman para establecer una “trusted connection” con Lsass, comprueba dicho privilegio. Este privilegio permitiría a un proceso que ha establecido una conexión con Lsass ejecutar la función LsaLogonUser para crear una nueva “logon session” . Esta función requiere un nombre de usuario y contraseña valido y acepta una lista opcional de SIDs para añadir al token de la nueva sesión. Por esto, el usuario puede utilizar su propio nombre de usuario y contraseña para crear una sesión que incluya los SIDs de usuarios o grupos con más privilegios en el token resultante.  

En cualquier caso, es importante mencionar que el uso de elevación de privilegios se limita al propio equipo y en ningún caso a la interacción con otros equipos o acceso a los mismos a través de la red.

Otros privilegios pueden utilizarse como un ataque de “Denial of Service”. En este caso estaría, por ejemplo, Lock Pages In Physical Memory .       

Por ejemplo, el derecho de usuario “Allow log on locally” determina cuando un usuario puede iniciar sesión interactiva en un equipo. Es importante tener en cuenta que los usuarios que no tienen dicho derecho son capaces de iniciar sesión remota de manera interactiva si tienen otorgado el derecho “Allow logon through Terminal Services” explícitamente a partir de Windows 2003.    

En el siguiente enlace podéis encontrar información adicional sobre la definición del derecho, la configuración por defecto en los diferentes equipos, posibles vulnerabilidades y resto de información que puede ser de interés desde el punto de vista de seguridad.      

Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows Vista      

https://technet.microsoft.com/en-us/library/cc749467(WS.10).aspx    

Para completar la información os recomendamos revisar el siguiente artículo. Este es la mejor referencia a nivel de KB para conocer las consecuencias, ventajas y desventajas de otorgar o quitar derechos de usuario:      

823659 Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments

https://support.microsoft.com/default.aspx?scid=kb;EN-US;823659

 Paula Tomás Galed y Yolanda Muñoz Muñoz