Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

Злоумышленник может воспользоваться возможностью добавления вредоносного кода (в виде библиотек DLL) используя программный интерфейс в Microsoft Windows между приложениями и провайдерами безопасности (SSPI).  
Библиотеки DLL Windows SSP загружаются в процесс Local Security Authority (LSA) при запуске системы. После загрузки в LSA библиотеки DLL SSP получают доступ к зашифрованным и открытым паролям, хранящимся в Windows.
Конфигурация SSP хранится в двух разделах реестра:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages
Злоумышленник может изменить эти разделы реестра, чтобы добавить новые SSP, которые будут загружены при следующей загрузке системы или при вызове функции AddSecurityPackage Windows API.

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Операционная система
Классификация
STRIDE: Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Иное: НСД ? Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Техники ATT@CK:
T1547.005 Boot or Logon Autostart Execution: Security Support Provider
Adversaries may abuse security support providers (SSPs) to execute DLLs when the system boots. Windows SSP DLLs are loaded into ...

Связанные защитные меры

Ничего не найдено