SeDebugPrivilege
O que é SeDebugPrivilege?
SeDebugPrivilegePrivilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais.
O SeDebugPrivilege e um privilegio do Windows definido na Local Security Authority que, quando presente num token de processo, permite abrir qualquer processo ou thread (incluindo de SYSTEM) com PROCESS_ALL_ACCESS. Por predefinicao so e concedido ao grupo local Administrators e a processos a correr como SYSTEM; a Microsoft documenta-o como equivalente, na pratica, a administrador da maquina. Ferramentas como Mimikatz, ProcDump (para volcar LSASS) e EDRs precisam deste privilegio para inspecionar memoria. Os atacantes adoram-no: com SeDebugPrivilege podem fazer dump do LSASS, sequestrar tokens, injetar em processos protegidos e desativar ferramentas de seguranca. Os defensores monitorizam os eventos 4673/4703 do log Security, ativam o Credential Guard e removem o direito via GPO.
● Exemplos
- 01
Um adversario ativa o SeDebugPrivilege no processo Mimikatz e executa sekurlsa::logonpasswords para volcar o LSASS.
- 02
Uso de ProcDump -ma para capturar um dump de memoria do LSASS e extrair credenciais offline.
● Perguntas frequentes
O que é SeDebugPrivilege?
Privilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa SeDebugPrivilege?
Privilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais.
Como se defender contra SeDebugPrivilege?
As defesas contra SeDebugPrivilege costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SeDebugPrivilege?
Nomes alternativos comuns: SeDebug, Direito Depurar programas.