Local Service Account

Windows에서 최소 권한을 갖는 서비스 계정은 Local Service 이며

whoami 명령 결과에는 NT AUTHORITY\Local Service 라고 표시됩니다.

이 계정의 경우 최소한의 권한을 갖는데, 서비스 계정의 기본적인 권한 중 하나인

SeImpersonatePrivilege 권한을 복원할 수 있고, 이를 통해서 System 계정으로 권한 상승이 가능합니다.

이 계정은 Windows라면 기본적으로 존재하지만, 서비스 계정의 특성상

서비스 실행에 필요한 권한 외에는 제거하는 것이 올바른 보안조치이기 때문에

기본적으로 할당된 많은 권한들이 이미 제거된 상태일 수도 있습니다.

공격자가 초기 침투에 성공한 계정이 Local Service 계정이며,

이미 이 계정에는 과도한 권한이 제거된 상태일 때, 공격자는 권한 복구를 통하여

초기 Windows의 Local Service 권한들을 복구함에 따라 System 권한으로 권한 상승이 가능합니다.

Abuse

기본으로 생성되어 있는 Local Service 계정의 권한은 다음과 같습니다.

C:\Windows\System32>whoami /priv

사용 권한 정보
----------------------

사용 권한 이름                설명                               상태
============================= ================================== ==========
SeAssignPrimaryTokenPrivilege 프로세스 수준 토큰 바꾸기          사용 안 함
SeIncreaseQuotaPrivilege      프로세스에 대한 메모리 할당량 조정 사용 안 함
SeSystemtimePrivilege         시스템 시간 변경                   사용 안 함
SeShutdownPrivilege           시스템 종료                        사용 안 함
SeAuditPrivilege              보안 감사 생성                     사용 안 함
SeChangeNotifyPrivilege       트래버스 검사 무시                 사용
SeUndockPrivilege             도킹 스테이션에서 컴퓨터 제거      사용 안 함
SeImpersonatePrivilege        인증 후 클라이언트 가장            사용
SeCreateGlobalPrivilege       전역 개체 만들기                   사용
SeIncreaseWorkingSetPrivilege 프로세스 작업 집합 향상            사용 안 함
SeTimeZonePrivilege           시간대 변경                        사용 안 함

현재 있는 권한 중 SeImpersonatePrivilege 권한은 SeAssignPrimaryTokenPrivilege와

같이 사용되는 권한이며, 이 권한을 보유했을 때 클라이언트 가장이 가능하여

System 사용자로 권한 상승이 가능합니다.

만약 보안 조치로 Local Service 계정의 권한을 관리하고 싶을 때는

레지스트리 값에서 참조되는 경로를 수정합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SecEdit 경로 하위에는

다음과 같이 TemplateUserd 키가 존재합니다.

이 키의 값에서 참조하는 파일이 바로 Local Service 계정의 권한과 관련된 파일입니다.

이 파일을 실행 시 초기 Local Service 계정의 모두 복원됩니다.

References