SYSTEM 사용자 토큰으로 로그온 사용자 프로세스를 시작하면 시스템의 보안이 위험에 처하게됩니까?

Question

보안 관점에서 궁금합니다. 아래에서 설명하는 것을 수행하는 것이 얼마나 나쁜가요?

로컬 서비스의 대화 형 로그온 사용자 세션에서 승격 된 프로세스를 실행해야합니다. 이 프로세스는 단지 사용자가 볼 수없는 message-only GUI 창으로 존재하며 프로세스가 시작될 때마다 클래스 이름이 무작위로 지정됩니다.

//Pseudo-code, error checks are omitted for brevity 
//This code is run from a local-service with SYSTEM credentials 

PSID gpSidMIL_High; 
ConvertStringSidToSid(L"S-1-16-12288", &gpSidMIL_High); 

HANDLE hToken, hToken2; 

OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken); 
DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &hToken2); 

SetTokenInformation(hToken2, TokenSessionId, &userSessionID, sizeof(userSessionID)); 

DWORD dwUIAccess = 1; 
SetTokenInformation(hToken2, TokenUIAccess, &dwUIAccess, sizeof(dwUIAccess)); 

//Set "high" mandatory integrity level 
TOKEN_MANDATORY_LABEL tml = {0}; 
tml.Label.Attributes = SE_GROUP_INTEGRITY; 
tml.Label.Sid = gpSidMIL_High; 

SetTokenInformation(hToken2, TokenIntegrityLevel, &tml, sizeof(TOKEN_MANDATORY_LABEL) + ::GetSidLengthRequired(1)); 

CreateEnvironmentBlock(&pEnvBlock, hToken2, FALSE); 

ImpersonateLoggedOnUser(hToken2); 
CreateProcessAsUser(hToken2,,,,,,,pEnvBlock,,); 
RevertToSelf(); 

//Clean-up 
DestroyEnvironmentBlock(pEnvBlock); 
CloseHandle(hToken2); 
CloseHandle(hToken); 
LocalFree(gpSidMIL_High); 

Answer 1

이 아주 나쁜 보이는 : 나는 같은 지역 서비스의 사용자 토큰을 사용하여이 프로세스를 실행하면

그것은 일을 속도가 빨라집니다. 프로세스가 너무 많은 권한을 가지고 있습니다. 이 프로세스는 사용자가 실행 한 세션의 사용자가 도용 당할 위험에 놓이게되므로 일반적으로 자신이 소유하지 않은 권리 인 SYSTEM이 부여됩니다.

적절한 디자인은 후크 프로세스가 아무 것도 할 수 없도록하는 것입니다. 키보드 이벤트를 다시 서비스에 전달하십시오. 귀하의 후크가 이것을 위해 SYSTEM 일 필요는 없습니다. AdjustTokenPrivileges에 전화하여 모든 권한을 취소 할 수 없게 삭제하는 것이 좋습니다 (필요하지 않음). 후크 프로세스가 도용 된 경우에도 해당 권한을 다시 얻을 수는 없습니다.