По словам исследователя информационной безопасности Мэтта Уикса, функция безопасности Just Enough Administration (JEA), которая была реализована в PowerShell, не является действительно надежным защитным механизмом и может быть использована для захвата полного контроля над системой.
Как утверждает эксперт, каждый профиль JEA, опубликованный Microsoft, можно обойти и заполучить права администратора. Чтобы повышать свои привилегии, хакеры не должны тратить много времени и вносить какие-либо изменения в конфигурацию.
JEA – это технология, которая активирует делегированное администрирование. Так, с ее помощью можно регулировать число администраторов системы и контролировать пользовательские возможности.
Уикс показал различные способы использования возможностей JEA. По словам эксперта, с помощью команды cmdlet, которая применяется для ввода компьютера в домен или изменения последнего, хакер может получить неограниченные права на системе. Киберпреступник может, используя управляемый им контроллер домена, присвоить групповую политику новому компьютеру.
Уикс пояснил, что компьютер жертвы получит групповые политики от нового сервера хакера, что даст ему возможность вносить изменения в настройки, отключать межсетевые экраны, выполнять от имени системы любые команды, используя стартовые скрипты или запланированные задачи, а также пройти процедуру авторизации как администратор домена. Это позволит злоумышленнику полностью захватить контроль над системой.