多くの企業は、この構成から生じる可能性のあるリスクを考慮せずに、運用サーバー上でシステムとしてサービスを実行しています。それに関連する最大のリスクは何ですか。そして、攻撃者はこの種の構成をどのように悪用しますか?
最悪のシナリオ
攻撃者がアプリケーションを悪用して任意のコードを実行すると、このコードは、悪用されたアプリケーションのコンテキスト(つまり特権)の下で実行されます。したがって、SYSTEMとして実行されているサービスにリスニングポートがあり、インターネットまたはネットワークから悪用可能な場合、攻撃者は新しい管理者アカウントの追加や mimikatz を使用したパスワードと証明書のダンプなど、コンピューター上でほとんど何でもできます
特権エスカレーション
アプリケーションがポートをリッスンしていない場合、またはそのポートを使用して悪用できない場合でも、サービスは攻撃者に 特権の昇格 を許可する可能性があります。これには、低い特権のアプリケーションまたはユーザーを悪用するなどして、攻撃者が最初に低い特権のアクセス権を持っている必要があります。
この方法でサービスを攻撃するには、攻撃者は通常、アプリケーションではなく、サービス自体の設定ミスを探す必要があります。彼は、アプリケーションのバイナリ(exeファイル)を編集してからサービスを再起動し、サービスのパスを編集してみることができます(したがって、サービスの起動時に実行されるexeを編集します)。または、彼は DLLハイジャック を試してみることもできます。
これらの攻撃の1つが成功した場合、彼はアプリケーションのコンテキストで、つまりSYSTEMとしてコードを実行できます。このリスクを最小限に抑えるには、必要最小限の権限でアプリケーションを実行します。サービスがSYSTEMを実行する必要がない場合は、そうすることで不要なセキュリティリスクが発生します。