Módulo 8: Auditoría de Control de Acceso (AccessChk)
Herramienta: Sysinternals AccessChk v6.15
Perfil: Internal Audit / Red Team / Hardening
1. Introducción Teórica
La vulnerabilidad más común en entornos Windows no es un fallo de software, sino una configuración de permisos (ACLs) excesivamente permisiva.
Si un usuario con bajos privilegios tiene permisos de **Escritura (W)** sobre objetos críticos (Servicios o Directorios de Sistema), puede realizar ataques de:
-
Service Binary Replacement:Cambiar el ejecutable que lanza un servicio (que corre como SYSTEM) por un malware.
-
DLL Hijacking:** Sobrescribir librerías en carpetas de aplicación.
2. Metodología: Auditoría de Privilegios Efectivo
Se utilizó `accesschk` para validar la superficie de ataque interna.
2.1 Adaptación al Entorno (Localización)
Se detectó que los grupos de seguridad nativos varían según el idioma del OS.
Inglés: `Users`, `Everyone`.
Español: `Usuarios`, `Todos`.
Acción: Se adaptaron los comandos para auditar los grupos locales correctos.
2.2 Auditoría de Servicios (Service Hardening)
Comando: `accesschk64.exe -uwcqv “Usuarios” *`
Resultado:** “No matching objects found”.
Análisis: El sistema mantiene una postura segura. El grupo de usuarios estándar no posee permisos de modificación sobre la configuración de servicios (`SERVICE_CHANGE_CONFIG`), mitigando la escalada de privilegios vía servicios.
2.3 Simulación de Vulnerabilidad (Filesystem)
Se creó un directorio cebo con permisos abiertos (`icacls … /grant Todos:F`) para validar la detección.
Comando de Auditoría:
`accesschk64.exe -dqv “Todos” C:\Carpeta Vulnerable
Hallazgo Crítico:
La herramienta reportó:
-
Flag:** `RW` (Read/Write)
-
Permiso:** `FILE_ALL_ACCESS`
-
Impacto:** Confirmación de que cualquier usuario autenticado o anónimo puede alterar el contenido, validando el vector de ataque de carpetas inseguras.
{width=“6.267716535433071in”
height=“3.5555555555555554in”}
3. Conclusión
AccessChk es fundamental para auditorías de cumplimiento (Compliance).
Permite verificar en segundos que se cumple el principio de “Mínimo Privilegio”, detectando desviaciones que herramientas automáticas de escaneo de vulnerabilidades suelen pasar por alto.