Protection 📝 Neutraliser l’escalade de privilèges via services Windows vulnérables

[Sylvain*]

Neutraliser l’escalade de privilèges via services Windows vulnérables

Introduction

Les services Windows mal configurés ou vulnérables représentent une surface d’attaque majeure permettant à un utilisateur local malveillant d’élever ses privilèges jusqu’au niveau SYSTEM. Ce tutoriel détaille une approche complète pour identifier ces services à risque, les corriger et les neutraliser efficacement afin d’empêcher toute exploitation.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les services Windows et droits d’accès NTFS

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Moyen

• Étape #2 : Élevé

• Étape #3 : Élevé

• Étape #4 : Moyen

• Étape #5 : Moyen

---

Les Avantages

• Étape #1 : Identification rapide des services critiques à risque

• Étape #2 : Correction fine des failles de permissions

• Étape #3 : Vérification du binaire et de sa légitimité

• Étape #4 : Blocage des modifications non autorisées

• Étape #5 : Renforcement du niveau de sécurité durable

---

Les Inconvénients

• Étape #1 : Analyse manuelle nécessaire pour chaque service

• Étape #2 : Risque de perturber le fonctionnement de certains services

• Étape #3 : Nécessite des connaissances précises sur les DLL/Binaires

• Étape #4 : Configuration complexe via GPO ou Applocker

• Étape #5 : Maintenance régulière obligatoire

---

Étape #1

Lister tous les services Windows

sc query state= all

Identifier ceux s'exécutant avec le compte SYSTEM

wmic service get name, startname, pathname

Rechercher les chemins d'accès contenant des espaces sans guillemets

Noter les services configurés de manière incorrecte ou suspects

---

Étape #2

Vérifier les permissions sur les exécutables de chaque service identifié

icacls "C:\Chemin\Service.exe"

Repérer les autorisations en écriture pour Users ou Authenticated Users

Supprimer ces droits excessifs

icacls "C:\Chemin\Service.exe" /remove:g UtilisateurGroupesInappropriés

Appliquer les ACL strictes nécessaires au fonctionnement minimal

---

Étape #3

Comparer les hash de l'exécutable avec une version légitime

certutil -hashfile "C:\Chemin\Service.exe" SHA256

Rechercher toute DLL injectable dans le même dossier

Supprimer ou déplacer toute bibliothèque inconnue

Mettre à jour le service via des sources officielles si doute

---

Étape #4

Configurer

AppLocker

pour bloquer l’exécution hors chemins approuvés

Créer des règles ciblant uniquement les binaires système approuvés

Activer le mode audit puis passer en mode application après validation

Vérifier les journaux d’événement pour tout contournement détecté

---

Étape #5

Mettre en place une politique GPO d’audit sur les services

Audit Policy > DS Access > Audit Services Configuration

Consigner toute modification avec Event ID 7045

Automatiser les alertes avec un SIEM sur ces journaux

Effectuer un audit mensuel des services système

---

Astuce

Utilisez AccessChk pour vérifier rapidement les droits sur les services :

accesschk.exe -uwcqv "Utilisateurs" *

---

Mise en garde

Toute modification de

permissions NTFS

ou de

services Windows

sans validation peut bloquer des services critiques. Procédez par étapes et sauvegardez les configurations.

---

Conseil

Ciblez prioritairement les services SYSTEM dont l’exécutable est situé hors

C:\Windows\System32

et vérifiez leurs droits d’accès et intégrité des fichiers.

---

Solutions alternatives

• Privilege escalation Windows services

• AccessChk Windows services permissions

• AppLocker services non autorisés

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

La sécurisation des services Windows contre l’escalade de privilèges repose sur l’identification proactive des mauvaises configurations, la restriction des droits d’accès aux exécutables, la surveillance continue et l’utilisation d’outils comme AppLocker ou AccessChk. Une politique rigoureuse de durcissement permet de réduire drastiquement ce vecteur d’attaque courant.