Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

Злоумышленники могут создавать или изменять существующие службы Windows для закрепления в операционной системе. В момент загрузки ОС Windows, запускаются программы или приложения, называемые службами, которые выполняют фоновые системные функции. Информация о конфигурации службы Windows хранится в реестре Windows. Конфигурации служб могут быть изменены с помощью таких утилит, как sc.exe и Reg.
Злоумышленники могут создать новую службу или изменить существующую службу, используя системные утилиты, непосредственно изменяя реестр или используя пользовательские инструменты для взаимодействия с API Windows.
Для сокрытия присутствия злоумышленники могут использовать имя существующей службы или изменить существующие службы, чтобы сделать обнаружение более сложным. Изменение существующих служб может нарушить их функциональность или включить службы, которые отключены или иным образом обычно не используются.
Злоумышленник может также использовать данную уязвимость для повышения привилегий от администратора к системным учетным данным.

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Операционная система
Классификация
STRIDE: Повышение привилегий ? Повышение привилегий / Elevation of privilege
Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений действующих защитных механизмов. Защищаемое свойство – авторизация.
Иное: НСД ? Несанкционированный доступ / Unauthorized access
Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
Источники угрозы
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Связанные защитные меры

Ничего не найдено