• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:332

●重點摘要： 1. Just Enough Administration (JEA) 是微軟安全性技術，類似 Linux capabilities，可透過 PowerShell 管理受允許委派管理的項目。 2. 資安專家發現 JEA 可以被 bypass 以獲得完整的系統的管理權限，其中大部分不需要任何特殊配置。 3. 其中 Cmdlet 允許使用"Add-Computer"指令，可被利用加入裝置並設定任何排程任務及啟動腳本，以在裝置重啟時執行任何惡意指令。 4. 資安專家在部落格中示範與詳述許多可利用來侵駭的方式，並表示可在 github 搜尋到 JEA 相關的資料。 5. 資安專家並表示微軟將更新相關資料文件以提供更多 JEA profiles 相關細節，而更可能被利用來獲得管理權限。

參考連結：

http://securityaffairs.co/wordpress/52084/hacking/jea-profiles-abuses.html
https://www.scriptjunkie.us/2016/10/just-too-much-administration-breaking-jea-powershells-new-security-barrier/