SeDebugPrivilege
Что такое SeDebugPrivilege?
SeDebugPrivilegeМощная привилегия Windows, дающая владельцу право открывать, читать и изменять память любого процесса, включая LSASS, и потому являющаяся главной целью для кражи учётных данных.
SeDebugPrivilege — привилегия Windows, определённая в Local Security Authority: если она присутствует в токене процесса, тот может открыть любой процесс или поток (включая принадлежащие SYSTEM) с правами PROCESS_ALL_ACCESS. По умолчанию она выдаётся только локальной группе Administrators и процессам SYSTEM, и Microsoft документирует её как фактически эквивалентную правам администратора хоста. Mimikatz, ProcDump (для дампа LSASS) и EDR-продукты требуют этой привилегии для инспекции памяти. Для атакующих она ключевая: с SeDebugPrivilege можно сбросить LSASS, перехватить токены, инжектироваться в защищённые процессы и отключать средства защиты. Защитники мониторят события 4673/4703 в журнале Security, включают Credential Guard и убирают это право через GPO.
● Примеры
- 01
Атакующий включает SeDebugPrivilege в процессе Mimikatz и выполняет sekurlsa::logonpasswords для дампа LSASS.
- 02
Использование ProcDump -ma для получения дампа памяти LSASS и оффлайн-извлечения учётных данных.
● Частые вопросы
Что такое SeDebugPrivilege?
Мощная привилегия Windows, дающая владельцу право открывать, читать и изменять память любого процесса, включая LSASS, и потому являющаяся главной целью для кражи учётных данных. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает SeDebugPrivilege?
Мощная привилегия Windows, дающая владельцу право открывать, читать и изменять память любого процесса, включая LSASS, и потому являющаяся главной целью для кражи учётных данных.
Как работает SeDebugPrivilege?
SeDebugPrivilege — привилегия Windows, определённая в Local Security Authority: если она присутствует в токене процесса, тот может открыть любой процесс или поток (включая принадлежащие SYSTEM) с правами PROCESS_ALL_ACCESS. По умолчанию она выдаётся только локальной группе Administrators и процессам SYSTEM, и Microsoft документирует её как фактически эквивалентную правам администратора хоста. Mimikatz, ProcDump (для дампа LSASS) и EDR-продукты требуют этой привилегии для инспекции памяти. Для атакующих она ключевая: с SeDebugPrivilege можно сбросить LSASS, перехватить токены, инжектироваться в защищённые процессы и отключать средства защиты. Защитники мониторят события 4673/4703 в журнале Security, включают Credential Guard и убирают это право через GPO.
Как защититься от SeDebugPrivilege?
Защита от SeDebugPrivilege обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SeDebugPrivilege?
Распространённые альтернативные названия: SeDebug, право Отладка программ.
● Связанные термины
- identity-access№ 1162
Имперсонация токена
Техника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя.
- identity-access№ 1194
User Account Control (UAC)
Функция безопасности Windows, появившаяся в Vista: интерактивные сессии работают с ограниченным токеном, а перед административным повышением запрашивается согласие или учётные данные.
- vulnerabilities№ 860
Повышение привилегий
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.