Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

При открытии файла проверяется программа по умолчанию, используемая для открытия файла (так называемая ассоциация файлов). Выбранные ассоциации файлов хранятся в реестре Windows и могут быть отредактированы пользователями, администраторами или программами, имеющими доступ к реестру, или администраторами с помощью встроенной утилиты assoc. 
Например, ассоциации системных файлов перечислены в разделе реестра:
HKEY_CLASSES_ROOT\.[extension]
Обработчики указаны по пути:
HKEY_CLASSES_ROOT\[handler]
Значения перечисленных ключей реестра являются командами, которые выполняются, когда обработчик открывает расширение файла:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\print\command
HKEY_CLASSES_ROOT\txtfile\shell\printto\command
Злоумышленники могут закрепиться в ОС изменив соответствующим образом приложения по умолчанию для популярных расширений или изменив выполняемые действия при открытии файлов. 

Описание типа актива

Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки Операционная система
Классификация
STRIDE: Повышение привилегий ?
Иное: НСД ?
Источники угрозы
Внутренний нарушитель - Низкий потенциал ?

Каталоги

БДУ ФСТЭК:
УБИ.015 Угроза доступа к защищаемым файлам с использованием обходного пути ?
Угроза заключается в возможности получения нарушителем доступа к скрытым/защищаемым каталогам или файлам посредством различных в...
Техники ATT@CK:
T1546.001 Event Triggered Execution: Change Default File Association
Adversaries may establish persistence by executing malicious content triggered by a file type association. When a file is opened...

Связанные защитные меры

Ничего не найдено