Карточка риска

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Угроза

Закрепление злоумышленника в ОС

из-за уязвимости

Подмена библиотек пакетов аутентификации в Local Security Authority

в Активе

ОС Windows

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

Злоумышленники могут подменять библиотеки пакетов аутентификации на произвольные библиотеки. Библиотеки DLL пакета проверки подлинности Windows загружаются процессом Local Security Authority (LSA) при запуске системы.

Злоумышленники могут использовать механизм автозапуска, предоставляемый пакетами аутентификации LSA для закрепления в инфраструктуре, поместив ссылку на двоичный файл в расположение реестра Windows:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\

со значением ключа "Пакеты аутентификации"=<целевой двоичный файл>.

Описание типа актива

Microsoft Windows любых версий

Область действия: Вся организация

Объекты атаки Операционная система

Классификация

STRIDE: Повышение привилегий

Иное: НСД

Источники угрозы

Внутренний нарушитель - Низкий потенциал

Каталоги

Техники ATT@CK:

T1547.002 Boot or Logon Autostart Execution: Authentication Package

Связанные защитные меры

Ничего не найдено