Privilege Escalation в Windows — это повышение привилегий: когда пользователь или процесс получает больше прав, чем должен иметь изначально. Для атакующего это один из ключевых этапов после первичного доступа, а для бизнеса — риск полного компромета домена, кражи данных и отключения защитных систем.
Какие бывают виды
- — Vertical Privilege Escalation: переход от обычного пользователя к локальному администратору или SYSTEM.
- — Horizontal Privilege Escalation: доступ к правам другого пользователя того же уровня.
- — Domain Privilege Escalation: выход на уровень администратора домена через ошибки конфигурации, учетные данные или уязвимости Active Directory.
Частые методы повышения привилегий в Windows
- — Слабые настройки служб: сервисы с небезопасными правами на изменение пути запуска или бинарников.
- — Unquoted Service Path: путь к исполняемому файлу без кавычек позволяет подменить запуск.
- — Ошибки в правах на файлы и папни: пользователь может заменить DLL, EXE или скрипт, запускаемый от имени администратора.
- — Уязвимости ПО и драйверов: локальные эксплойты для ядра, драйверов, антивирусов, EDR-компонентов.
- — Credential Dumping: извлечение паролей, хэшей и токенов из памяти LSASS или SAM.
- — Abuse of Scheduled Tasks / UAC bypass: использование задач планировщика и обход UAC через штатные механизмы.
- — Token Impersonation: подмена токенов доступа при наличии соответствующих привилегий.
Как понять, что система уязвима
- — На хосте много локальных администраторов.
- — Устаревшие патчи Windows и драйверов.
- — Пользователи имеют избыточные NTFS-права.
- — Отключены PowerShell logging, Sysmon, аудит событий.
- — Пароли локальных администраторов одинаковые на разных ПК.
- — В AD есть старые сервисные аккаунты с широкими правами.
Как защититься
- — Принцип минимально необходимых привилегий для пользователей и сервисов.
- — Внедрить LAPS / Windows LAPS для уникальных локальных паролей.
- — Регулярно обновлять ОС, драйверы и стороннее ПО.
- — Ограничить доступ к LSASS, включить Credential Guard.
- — Проверять права на службы, задачи, папки и ключи реестра.
- — Использовать AppLocker или Windows Defender Application Control.
- — Включить расширенный аудит, PowerShell logging, Sysmon.
- — Разделять админские и пользовательские учетные записи.
- — Контролировать привилегированные группы в AD и использовать PAM/PAW.
Что важно для SOC и администраторов
Ищите цепочки событий: запуск подозрительных PowerShell-команд, изменение сервисов, создание задач, доступ к LSASS, добавление в Administrators, запуск неизвестных DLL и резкий рост привилегий у процесса. Именно корреляция событий, а не один IOC, чаще всего помогает поймать escalation на раннем этапе. 📊⚠️
Privilege Escalation в Windows — не одна уязвимость, а целый класс техник, который опирается на ошибки конфигурации, слабый контроль прав и отсутствие мониторинга. Надежная защита строится на hardening, патч-менеджменте и видимости событий в системе. 🛡️
Подборка каналов про IT — отличный способ держать руку на пульсе технологий, безопасности и администрирования. 👀