Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Описание уязвимости
Keychain - это встроенный в macOS способ отслеживания паролей и учетных данных пользователей для многих сервисов и функций, таких как пароли Wi-Fi, веб-сайты, защищенные заметки, сертификаты и Kerberos.
Файлы Keychain находятся в:
Файлы Keychain находятся в:
~/Library/Keychains/,/Library/Keychains/
/Network/Library/Keychains/Пароли, хранящиеся в Keychain многократно зашифрованы с помощью набора взаимозашифрованных ключей. Таким образом, для чтения первого пароля в пользовательской цепочке паролей необходим его пароль для входа или мастер-ключ. Обработка операций с keychain осуществляется процессом securityd, для этого в его памяти хранится мастер-ключ.
В OS X до El Capitan пользователи с доступом root могли читать Keychain в виде открытого текста вошедших в систему пользователей, поскольку реализация Keychain Apple позволяет кэшировать эти учетные данные, чтобы пользователи не получали повторных запросов на ввод паролей.
Злоумышленник обладая root правами может сканировать память с целью поиска мастер-ключа цепочки keychain и поэтапно расшифровав всю последовательность паролей пользователя для получить все используемые пароли.
Если злоумышленник знает учетные данные для Keychain, то он может получить доступ ко всем другим учетным данным, хранящимся в этом хранилище.
В OS X до El Capitan пользователи с доступом root могли читать Keychain в виде открытого текста вошедших в систему пользователей, поскольку реализация Keychain Apple позволяет кэшировать эти учетные данные, чтобы пользователи не получали повторных запросов на ввод паролей.
Злоумышленник обладая root правами может сканировать память с целью поиска мастер-ключа цепочки keychain и поэтапно расшифровав всю последовательность паролей пользователя для получить все используемые пароли.
Если злоумышленник знает учетные данные для Keychain, то он может получить доступ ко всем другим учетным данным, хранящимся в этом хранилище.
Описание типа актива
Проприетарная операционная система производства Apple.
Область действия: Вся организация
Классификация
КЦД:
Конфиденциальность
?
STRIDE:
Подмена пользователя
?
Раскрытие информации
?
Повышение привилегий
?
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внутренний нарушитель -
Низкий потенциал
?
БДУ ФСТЭК:
УБИ.074
Угроза несанкционированного доступа к аутентификационной информации
Угроза заключается в возможности извлечения паролей, имён пользователей или других учётных данных из оперативной памяти компьюте...
Техники ATT@CK:
T1555.001
Credentials from Password Stores:
Keychain
Adversaries may acquire credentials from Keychain. Keychain (or Keychain Services) is the macOS credential management system tha...
T1555.002
Credentials from Password Stores:
Securityd Memory
An adversary may obtain root access (allowing them to read securityd’s memory), then they can scan through memory to find the co...
Связанные защитные меры
Ничего не найдено