Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Описание уязвимости
Keychain - это встроенный в macOS способ отслеживания паролей и учетных данных пользователей для многих сервисов и функций, таких как пароли Wi-Fi, веб-сайты, защищенные заметки, сертификаты и Kerberos.
Файлы Keychain находятся в:
Файлы Keychain находятся в:
~/Library/Keychains/,/Library/Keychains/
/Network/Library/Keychains/
Пароли, хранящиеся в Keychain многократно зашифрованы с помощью набора взаимозашифрованных ключей. Таким образом, для чтения первого пароля в пользовательской цепочке паролей необходим его пароль для входа или мастер-ключ. Обработка операций с keychain осуществляется процессом securityd, для этого в его памяти хранится мастер-ключ.
В OS X до El Capitan пользователи с доступом root могли читать Keychain в виде открытого текста вошедших в систему пользователей, поскольку реализация Keychain Apple позволяет кэшировать эти учетные данные, чтобы пользователи не получали повторных запросов на ввод паролей.
Злоумышленник обладая root правами может сканировать память с целью поиска мастер-ключа цепочки keychain и поэтапно расшифровав всю последовательность паролей пользователя для получить все используемые пароли.
Если злоумышленник знает учетные данные для Keychain, то он может получить доступ ко всем другим учетным данным, хранящимся в этом хранилище.
В OS X до El Capitan пользователи с доступом root могли читать Keychain в виде открытого текста вошедших в систему пользователей, поскольку реализация Keychain Apple позволяет кэшировать эти учетные данные, чтобы пользователи не получали повторных запросов на ввод паролей.
Злоумышленник обладая root правами может сканировать память с целью поиска мастер-ключа цепочки keychain и поэтапно расшифровав всю последовательность паролей пользователя для получить все используемые пароли.
Если злоумышленник знает учетные данные для Keychain, то он может получить доступ ко всем другим учетным данным, хранящимся в этом хранилище.
Описание типа актива
Проприетарная операционная система производства Apple.
Классификация
КЦД:
Конфиденциальность
?
Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE:
Подмена пользователя
?
Подмена пользователя / Спуфинг / Spoofing of user identity Незаконный доступ к идентификационным и аутентификационным данным пользователя и их использование. За...
Раскрытие информации
?
Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос...
Повышение привилегий
?
Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель -
Низкий потенциал
?
Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, несмотря на то...
БДУ ФСТЭК:
УБИ.074
Угроза несанкционированного доступа к аутентификационной информации
Угроза заключается в возможности извлечения паролей, имён пользователей или других учётных данных из оперативной памяти компьюте...
Техники ATT@CK:
T1555.001
Credentials from Password Stores:
Keychain
Adversaries may collect the keychain storage data from a system to acquire credentials. Keychains are the built-in way for macOS...
T1555.002
Credentials from Password Stores:
Securityd Memory
An adversary may obtain root access (allowing them to read securityd’s memory), then they can scan through memory to find the co...
Связанные защитные меры
Ничего не найдено