・悪意あるWindowsサービスの実行のバックアップ(No.4)

IPAセキュリティPT評価版?

・悪意あるWindowsサービスの実行 †

↑

戦術 †

悪意あるプログラムの実行

↑

対象OS †

Windows

↑

必要なアクセス許可 †

Administrator, SYSTEM

↑

概説 †

Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムで、SYSTEM権限で動作するため、最も高い権限を有します。
Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム（マルウェア）をWindows サービスとしてインストールできれば、最上位の権限での設定実行や永続化が可能となります。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能が考えられます。
新しいWindowsサービスをインストールするか、既存のサービスを変更することで実現されます。

↑

緩和の方針 †

上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにします。標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

↑

運用やNetworkが変更された場合の影響の有無 †

標準ユーザーアカウントを、ビルトインAdministratorsグループのメンバーにした場合、リスクが非常に高まります。「CWE-428:引用符で囲まれていない検索パスまたは要素」の脆弱性が存在すると、これを利用される可能性があります。新規にサードパーティーのプログラムをインストールした場合は、CWE-428が存在しないか、確認が必要となります。 https://cwe.mitre.org/data/definitions/428.html

↑