Hyper-V Administrators
El grupo Hyper-V Administrators tiene acceso completo a todas las Hyper-V features. Si los Domain Controllers han sido virtualizados, entonces los administradores de virtualización deben ser considerados Domain Admins. Ellos podrían crear fácilmente un clon del Domain Controller en vivo y montar el disco virtual en modo offline para obtener el archivo NTDS.dit y extraer los hashes de contraseña NTLM de todos los usuarios en el dominio.
También está bien documentado en este blog, que al eliminar una máquina virtual, vmms.exe intenta restaurar los permisos de archivo originales en el archivo .vhdx correspondiente y lo hace como NT AUTHORITY\SYSTEM, sin suplantar al usuario. Podemos eliminar el archivo .vhdx y crear un enlace físico (hard link) nativo para apuntar este archivo a un archivo del sistema protegido, al cual tendremos permisos completos.
Si el sistema operativo es vulnerable a CVE-2018-0952 o CVE-2019-0841, podemos aprovechar esto para obtener privilegios de SYSTEM. De lo contrario, podemos intentar aprovechar una aplicación en el servidor que haya instalado un servicio que se ejecute en el contexto de SYSTEM, y que pueda ser iniciado por usuarios sin privilegios.
Target File
Un ejemplo de esto es Firefox, que instala el Mozilla Maintenance Service. Podemos actualizar este exploit (una prueba de concepto para NT hard link) para otorgar a nuestro usuario actual permisos completos sobre el siguiente archivo:
C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
Taking Ownership of the File
Después de ejecutar el script de PowerShell, deberíamos tener control total de este archivo y podemos tomar posesión de él.
C:\htb> takeown /F C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
Starting the Mozilla Maintenance Service
A continuación, podemos reemplazar este archivo con un maintenanceservice.exe malicioso, iniciar el servicio de mantenimiento y obtener la ejecución de comandos como SYSTEM.
C:\htb> sc.exe start MozillaMaintenance
Nota: Este vector ha sido mitigado por las actualizaciones de seguridad de Windows de marzo de 2020, que cambiaron el comportamiento relacionado con los hard links.