SeDebugPrivilege
O que é SeDebugPrivilege?
SeDebugPrivilegePrivilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais.
O SeDebugPrivilege e um privilegio do Windows definido na Local Security Authority que, quando presente num token de processo, permite abrir qualquer processo ou thread (incluindo de SYSTEM) com PROCESS_ALL_ACCESS. Por predefinicao so e concedido ao grupo local Administrators e a processos a correr como SYSTEM; a Microsoft documenta-o como equivalente, na pratica, a administrador da maquina. Ferramentas como Mimikatz, ProcDump (para volcar LSASS) e EDRs precisam deste privilegio para inspecionar memoria. Os atacantes adoram-no: com SeDebugPrivilege podem fazer dump do LSASS, sequestrar tokens, injetar em processos protegidos e desativar ferramentas de seguranca. Os defensores monitorizam os eventos 4673/4703 do log Security, ativam o Credential Guard e removem o direito via GPO.
● Exemplos
- 01
Um adversario ativa o SeDebugPrivilege no processo Mimikatz e executa sekurlsa::logonpasswords para volcar o LSASS.
- 02
Uso de ProcDump -ma para capturar um dump de memoria do LSASS e extrair credenciais offline.
● Perguntas frequentes
O que é SeDebugPrivilege?
Privilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa SeDebugPrivilege?
Privilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais.
Como funciona SeDebugPrivilege?
O SeDebugPrivilege e um privilegio do Windows definido na Local Security Authority que, quando presente num token de processo, permite abrir qualquer processo ou thread (incluindo de SYSTEM) com PROCESS_ALL_ACCESS. Por predefinicao so e concedido ao grupo local Administrators e a processos a correr como SYSTEM; a Microsoft documenta-o como equivalente, na pratica, a administrador da maquina. Ferramentas como Mimikatz, ProcDump (para volcar LSASS) e EDRs precisam deste privilegio para inspecionar memoria. Os atacantes adoram-no: com SeDebugPrivilege podem fazer dump do LSASS, sequestrar tokens, injetar em processos protegidos e desativar ferramentas de seguranca. Os defensores monitorizam os eventos 4673/4703 do log Security, ativam o Credential Guard e removem o direito via GPO.
Como se defender contra SeDebugPrivilege?
As defesas contra SeDebugPrivilege costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SeDebugPrivilege?
Nomes alternativos comuns: SeDebug, Direito Depurar programas.
● Termos relacionados
- identity-access№ 1162
Impersonacao de Token
Tecnica de elevacao de privilegios no Windows (MITRE ATT&CK T1134) em que o atacante duplica um token de acesso existente e o usa para executar codigo no contexto de outro utilizador.
- identity-access№ 1194
User Account Control (UAC)
Funcionalidade de seguranca do Windows introduzida no Vista que executa sessoes interativas com um token limitado e solicita consentimento ou credenciais antes de elevar uma acao administrativa.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.