Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

Злоумышленники могут использовать некорректно настроенные права на ветки реестра для перенаправления с легитимного исполняемого файла на ВПО:
HKLM\SYSTEM\CurrentControlSet\Services. 
Если разрешения для пользователей и групп установлены неправильно и разрешают доступ к разделам реестра, то злоумышленники могут изменить путь binPath/ImagePath службы, чтобы указать на ВПО. Таким образом при запуске службы злоумышленник получит возможность закрепиться в инфраструктуре или повысить права до прав учетной записи от имени которой запускается служба (локальная/доменная учетная запись, СИСТЕМА, LocalService или NetworkService).

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Операционная система
Классификация
STRIDE: Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Иное: НСД ? Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Техники ATT@CK:
T1574.011 Hijack Execution Flow: Services Registry Permissions Weakness
Adversaries may execute their own malicious payloads by hijacking the Registry entries used by services. Adversaries may use fla...

Связанные защитные меры

Ничего не найдено