同じPC上の管理者と非管理者のユーザーアカウントを攻撃する
次のシナリオを想像してみてください。
ハッカーはリモートPCを攻撃し、RATを使用してそれを制御したいと考えています。このPCには3つのユーザーアカウントがあります。 -A(管理者アカウント。-B(非管理者アカウント)
-C(管理者アカウント)
攻撃者は、悪意のある(RATを含む!)電子メールをユーザーAとユーザーBの両方に送信して、PCに感染させます。
私の質問は、管理者アカウントを持つユーザーAが悪意のあるアプリケーションをインストールした場合、他の2つのアカウントも感染させ、ハッカーにすべてのユーザーアカウントを制御させる場合、または自分のアカウントのみが妥協?
攻撃者のコードが実行されたことを検出した場合は常に、システム上のすべてのデータが潜在的に危険にさらされていると想定して行動するのが最善です。これは、特権ユーザーが侵害された場合に特に当てはまります。特権を付与するためにアファーマティブアクションが必要な場合でも(Sudoなど)、ある時点でそうします。その瞬間、攻撃コードはシステムを完全に危険にさらす可能性があります。
感染したユーザーに特権がない場合でも、特権ユーザーがログインしなくてもコードに特権の増加を許可する可能性のあるローカルの脆弱性(管理者には不明)が多数存在する可能性があります。
これは「未知の未知数」の問題であり、ローカルアクセスを使用すると、攻撃対象領域がはるかに大きくなります。
ローカルネットワーク通信は攻撃コードによって生成、スニッフィング、およびスプーフィングされる可能性があるため、他のマシンの情報とアカウントが安全であると単純に想定することはできません。
あなたがWindowsPCについて話しているなら、そうです。
システムのローカル管理者は、そのマシンに完全にアクセスでき、ローカルのWindowsPCで最高レベルの特権であるSYSTEMにエスカレーションできます。攻撃者がそのシステムの管理者になると、ボックス(およびすべてのユーザーアカウントとデータ)が完全に侵害されたと見なされます。