Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).

Описание уязвимости

Злоумышленники могут использовать Port Monitors для запуска вредоносной библиотеки DLL во время загрузки системы для закрепления в инфраструктуре или повышения привилегий. 
Монитор портов может быть установлен злоумышленником с помощью вызова API AddMonitor, вредоносный процесс будет выполнен с разрешениями встроенной учетной записи СИСТЕМА. При наличии соответствующих разрешений существует возможность загрузить произвольную библиотеку DLL указав путь в разделе реестра:
 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Операционная система
Классификация
КЦД: Целостность ? Целостность / integrity
Cвойство сохранения правильности и полноты активов.
STRIDE: Повышение привилегий ? Повышение привилегий / Elevation of privilege
Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений действующих защитных механизмов. Защищаемое свойство – авторизация.
Источники угрозы
Внешний нарушитель - Средний потенциал ? Внешний нарушитель
Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.
Внутрений нарушитель - Средний потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Связанные защитные меры

Ничего не найдено