Карточка риска

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Угроза

Повышение привилегий в ОС

из-за уязвимости

Создание или изменение системного процесса: служба Systemd

в Активе

ОС Linux

Описание угрозы

Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).

Описание уязвимости

Злоумышленники могут создавать или изменять службы systemd для многократного выполнения вредоносного кода для закрепления в инфраструктуре. Диспетчер служб systemd обычно используется для управления демонами (также известными как службы) и другими системными ресурсами.

Systemd использует конфигурационные файлы для управления загрузкой служб и их условиями. По умолчанию эти единичные файлы хранятся в каталогах

 /etc/systemd/system
 /usr/lib/systemd/system

и имеют расширение файла .service.
Для создания/изменения файлов сервисных единиц в данных каталогах требуют привилегий суперпользователя.

Для закрепления в системе с правами пользователя злоумышленники могут создавать/изменять файлы сервисных единиц в каталогах:

 ~/.config/systemd/user/

Описание типа актива

Семейство Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU, и, возможно, другие компоненты.

Область действия: Вся организация

Объекты атаки Операционная система

Классификация

КЦД: Целостность

STRIDE: Повышение привилегий

Источники угрозы

Внешний нарушитель - Средний потенциал

Внутренний нарушитель - Средний потенциал

Каталоги

Техники ATT@CK:

T1543.002 Create or Modify System Process: Systemd Service

Связанные защитные меры

	Название	Дата	Влияние
Community 18 10 / 118	Настройка безопасной конфигурации для серверов ОС Linux Вручную Техническая Превентивная 16.05.2022	16.05.2022	18 10 / 118