Функция Just Enough Administration позволяет повысить привилегии на системе

Как сообщил исследователь безопасности Мэтт Уикс (Matt Weeks), реализованная в Microsoft PowerShell функция безопасности Just Enough Administration (JEA) не является достаточно надежным защитным барьером и может использоваться для получения неограниченного контроля над системой. По словам эксперта, каждый опубликованный Microsoft профиль JEA можно обойти и получить на системе права администратора. Для повышения привилегий не требуются ни время, ни внесение каких-либо конфигурационных изменений.

JEA представляет собой технологию, активирующую делегированное администрирование. В частности, она позволяет регулировать количество администраторов системы и управлять возможностями пользователей. Идея JEA была действительно хороша, если бы только работала надлежащим образом, считает Уикс.

Исследователь продемонстрировал несколько способов эксплуатации возможностей JEA. По его словам, команда «cmdlet», предназначенная для введения компьютера в домен или изменения домена, может использоваться для получения неограниченных прав на системе. Злоумышленник может сделать так, что новый компьютер получит групповую политику от управляемого им контроллера домена.

Как пояснил Уикс, компьютер жертвы «получит групповые политики от вашего нового сервера, обеспечивая вам возможность изменять любые настройки, отключать межсетевые экраны, выполнять любые команды от имени системы с помощью стартовых скриптов или запланированных задач, а также непосредственно авторизоваться в качестве администратора домена. Вы ломаете 'защитный барьер' и получаете полный, неограниченный контроль над системой».