Centro Assistenza ACSIA

Ricerca

Che cos'è un “Windows group manipulation”?

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega l'alert ACSIA chiamato "Windows group manipulation".

Spiegazione del Windows group manipulation

Con "Windows group manipulation" ci si riferisce a una tecnica utilizzata dagli aggressori per sfruttare o modificare l'appartenenza e le autorizzazioni dei gruppi di utenti su un sistema operativo Windows. I gruppi di utenti sono insiemi di account che condividono autorizzazioni comuni, e la manipolazione di questi gruppi può fornire a un utente malintenzionato l'accesso non autorizzato o il controllo su varie risorse e informazioni riservate su un sistema o una rete.

Esempio di un attacco di "Windows group manipulation":

Supponiamo che ci sia un'azienda di medie dimensioni con una rete basata su Windows. All'interno di questa rete, diversi reparti hanno i propri gruppi di utenti con diritti di accesso specifici a determinate cartelle e file. Il reparto finanziario, ad esempio, dispone di un gruppo denominato "Finance_Users" che può accedere ai dati finanziari.

Un utente malintenzionato riesce a ottenere un accesso limitato alla rete aziendale tramite un'e-mail di phishing che ha indotto con l'inganno un dipendente a rivelare le proprie credenziali di accesso. Tuttavia, l'accesso iniziale dell'aggressore non gli fornisce le autorizzazioni necessarie per accedere ai dati finanziari.

Per aumentare i propri privilegi, l'attaccante decide di eseguire un attacco "Windows group manipulation" usando una combinazione di ingegneria sociale e un software per modificare l'appartenenza al gruppo "Finance_Users". Invece di aggiungere un nuovo account utente, sceglie di aggiungere il proprio account compromesso al gruppo "Finance_Users".

Con il proprio account, ora parte del gruppo "Finance_Users", l'aggressore ottiene l'accesso a dati finanziari sensibili. In questo modo, può visualizzare, copiare o persino modificare file contenenti informazioni riservate, causando potenzialmente danni significativi all'azienda.

Questa manipolazione dei gruppi di utenti di Windows ha consentito all'attaccante di elevare i propri privilegi, ottenendo l'accesso non autorizzato a risorse che non avrebbe potuto raggiungere con il suo account compromesso iniziale. 

ACSIA ti avvisa quando viene eseguito un attacco di manipolazione di gruppo di Windows sulla tua infrastruttura. Ecco tutte le informazioni che ACSIA ti mostra nella Live Notification:

Inoltre, sulla destra della schermata sopra, possiamo vedere le azioni che un utente può eseguire in questi casi.