Карточка риска

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Угроза

Повышение привилегий в ОС

из-за уязвимости

Создание или изменение задачи таймера Systemd

в Активе

ОС Linux

Описание угрозы

Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).

Описание уязвимости

Злоумышленник может использовать таймеры Systemd (альтернатива Cron в средах Linux) для первоначального или повторного выполнения вредоносного кода при закреплении в инфраструктуре или горизонтального распространения.
Systemd timers - это файлы с расширением файла .timer, которые управляют службами. Каждый файл .timer должен иметь соответствующий файл .service с тем же именем, например example.timer и example.service.

Привилегированные таймеры записываются в:

 /etc/systemd/system/ и /usr/lib/systemd/system

Таймеры пользовательского уровня записываются в

 ~/.config/systemd/user/.

Описание типа актива

Семейство Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU, и, возможно, другие компоненты.

Область действия: Вся организация

Объекты атаки Операционная система

Классификация

КЦД: Целостность

STRIDE: Повышение привилегий

Источники угрозы

Внешний нарушитель - Средний потенциал

Внутренний нарушитель - Средний потенциал

Каталоги

Техники ATT&CK:

T1053.006 Scheduled Task/Job: Systemd Timers

Связанные защитные меры

	Название	Дата	Влияние
Community 18 10 / 126	Настройка безопасной конфигурации для серверов ОС Linux Вручную Техническая Превентивная 16.05.2022	16.05.2022	18 10 / 126

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.