Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Угроза
Повышение привилегий в ОС
из-за уязвимости
Возможность изменять или добавлять драйверы LSASS (Windows)
в Активе
ОС Windows
Описание угрозы
Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).
Описание уязвимости
Local Security Authority (LSA) является основным компонентом, ответственным за локальную политику безопасности и аутентификацию пользователей. LSA включает в себя несколько динамических библиотек, которые выполняются в рамках процесса LSASS.exe. Злоумышленники могут изменять LSASS.exe путем замены или добавления нелегитимных драйверов LSA с последующим выполнением произвольного кода для закрепления в ОС.
Описание типа актива
Microsoft Windows любых версийОбъекты атаки
Операционная система
Классификация
КЦД:
Целостность
?
Целостность / integrity Свойство сохранения правильности и полноты активов.
STRIDE:
Повышение привилегий
?
Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель -
Средний потенциал
?
Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель -
Средний потенциал
?
Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, несмотря на то...
Техники ATT@CK:
T1547.008
Boot or Logon Autostart Execution:
LSASS Driver
Adversaries may modify or add LSASS drivers to obtain persistence on compromised systems. The Windows security subsystem is a se...
Связанные защитные меры
Ничего не найдено