Aperçu
Au moins un service Windows avec des autorisations faibles a été détecté.
Description
Les services Windows exécutent des tâches de bas niveau sans interaction utilisateur. Bien que nécessitant des privilèges élevés, certains services ne protègent pas correctement leurs fichiers et clés de registre. Cela permet aux utilisateurs non privilégiés de modifier le répertoire du service, ce qui peut entraîner une élévation des privilèges sur le système local et le réseau.
Les applications tierces sont particulièrement vulnérables en raison de leur installation par l’utilisateur et des risques de mauvaise configuration des autorisations de dossier.
Impact
Les services mal configurés permettent aux attaquants d’exécuter du code arbitraire, d’augmenter les privilèges jusqu’à SYSTEM, et de réaliser des actions malveillantes telles que le vol d’informations, l’exécution de commandes système, le déploiement de malware, et la modification des fichiers. Cela peut causer de graves dommages au système d’exploitation.
Solution
Pour protéger votre système, il est essentiel de vérifier les privilèges des utilisateurs et de configurer correctement les autorisations des services ainsi que des dossiers où se trouvent les services :
Localisez les services non sécurisés en utilisant les rapports Syxsense ou les résultats de la console.
Modifiez ou désactivez les autorisations non sécurisées des services. Consultez le tutoriel sur la modification des autorisations sous Windows 10 si nécessaire.
Obtenez la liste des services non sécurisés en utilisant la commande WMIC dans l’invite de commandes Windows.
Pour ouvrir une invite de commandes élevée, appuyez sur les touches Windows+R, tapez ‘cmd’, puis cliquez sur OK.
Lister tous les services :
wmic service list brief
Lister les services en excluant le dossier ‘system32’ et créer un fichier texte :
for /f « tokens=2 delims=’=' » %a in (‘wmic service list full^|find /i « pathname »^|find /i /v « system32″‘) do @echo %a >> c:\windows\temp\permissions.txt
Afficher les autorisations pour chaque service en utilisant le fichier texte créé :
for /f eol^=^ »^ delims^=^ » %a in (c:\windows\temp\permissions.txt) do cmd.exe /c icacls « %a »
Autorisations principales avec icacls :
F : Accès complet
M : Accès de modification
RX : Lecture et exécution
R : Lecture seule
W : Écriture seule
Options pour l’héritage :
(OI) : Héritage d’objet
(CI) : Héritage de conteneur
(IO) : Héritage uniquement (NP) : Ne pas propager l’héritage
