SeDebugPrivilege
¿Qué es SeDebugPrivilege?
SeDebugPrivilegePrivilegio de Windows muy potente que permite abrir, leer y modificar la memoria de cualquier proceso —incluido LSASS— y por tanto es un objetivo prioritario para el robo de credenciales.
SeDebugPrivilege es un privilegio de Windows definido en la Local Security Authority que, cuando lo posee un token de proceso, permite abrir cualquier proceso o hilo (incluso de SYSTEM) con PROCESS_ALL_ACCESS. Por defecto solo se concede al grupo local Administrators y a procesos SYSTEM, y Microsoft lo documenta como equivalente, en la practica, a administrador del host. Herramientas como Mimikatz, ProcDump (para volcar LSASS) y los EDR necesitan este privilegio para inspeccionar memoria. A los atacantes les encanta: con SeDebugPrivilege pueden volcar LSASS, secuestrar tokens, inyectarse en procesos protegidos y desactivar herramientas de seguridad. Los defensores monitorizan los eventos 4673/4703 de Security en Windows, usan Credential Guard y eliminan el derecho via GPO.
● Ejemplos
- 01
Un adversario habilita SeDebugPrivilege en el proceso de Mimikatz y ejecuta sekurlsa::logonpasswords para volcar LSASS.
- 02
Uso de ProcDump -ma para capturar un volcado de memoria de LSASS y extraer credenciales offline.
● Preguntas frecuentes
¿Qué es SeDebugPrivilege?
Privilegio de Windows muy potente que permite abrir, leer y modificar la memoria de cualquier proceso —incluido LSASS— y por tanto es un objetivo prioritario para el robo de credenciales. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa SeDebugPrivilege?
Privilegio de Windows muy potente que permite abrir, leer y modificar la memoria de cualquier proceso —incluido LSASS— y por tanto es un objetivo prioritario para el robo de credenciales.
¿Cómo funciona SeDebugPrivilege?
SeDebugPrivilege es un privilegio de Windows definido en la Local Security Authority que, cuando lo posee un token de proceso, permite abrir cualquier proceso o hilo (incluso de SYSTEM) con PROCESS_ALL_ACCESS. Por defecto solo se concede al grupo local Administrators y a procesos SYSTEM, y Microsoft lo documenta como equivalente, en la practica, a administrador del host. Herramientas como Mimikatz, ProcDump (para volcar LSASS) y los EDR necesitan este privilegio para inspeccionar memoria. A los atacantes les encanta: con SeDebugPrivilege pueden volcar LSASS, secuestrar tokens, inyectarse en procesos protegidos y desactivar herramientas de seguridad. Los defensores monitorizan los eventos 4673/4703 de Security en Windows, usan Credential Guard y eliminan el derecho via GPO.
¿Cómo defenderse de SeDebugPrivilege?
Las defensas contra SeDebugPrivilege combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SeDebugPrivilege?
Nombres alternativos comunes: SeDebug, Derecho Depurar programas.
● Términos relacionados
- identity-access№ 1162
Impersonacion de token
Tecnica de escalada de privilegios en Windows (MITRE ATT&CK T1134) en la que un atacante duplica un token de acceso existente y lo usa para ejecutar codigo en el contexto de otro usuario.
- identity-access№ 1194
Control de cuentas de usuario (UAC)
Funcion de seguridad de Windows introducida en Vista que ejecuta las sesiones interactivas con un token limitado y pide consentimiento o credenciales antes de elevar una accion administrativa.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.