Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Угроза
Повышение привилегий в ОС
из-за уязвимости
Возможность внедрения в Extra Window Memory (EWM injection)
в Активе
ОС Windows
Описание угрозы
Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).
Описание уязвимости
Extra Window Memory (EWM) - дополнительная память окна Windows. Размер EWM — 40 байт, подходит для хранения 32-битного указателя и часто используется для указания ссылки на процедуры.
Злоумышленники могут внедрить вредоносный код в процесс через Extra Window Memory (EWM), чтобы обойти средства защиты, а также, возможно, повысить привилегии. EWM injection - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Перед созданием окна графические процессы на базе Windows должны прописать или зарегистрировать класс Windows, который определяет внешний вид и поведение. Регистрация новых классов Windows может включать запрос на добавление до 40 байт EWM в выделенную память каждого экземпляра этого класса. Этот EWM предназначен для хранения данных, специфичных для этого окна, и имеет специальные функции API для установки и получения его значения.
Несмотря на небольшой размер, EWM достаточен для хранения 32-битного указателя и часто используется для указания на процедуру Windows. Вредоносное ПО может использовать эту ячейку памяти в рамках цепочки атак, которая включает в себя запись кода в общие разделы памяти процесса, размещение указателя на код в EWM, а затем вызов выполнения, возвращая управление выполнением по адресу в EWM процесса.
Злоумышленники могут внедрить вредоносный код в процесс через Extra Window Memory (EWM), чтобы обойти средства защиты, а также, возможно, повысить привилегии. EWM injection - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Перед созданием окна графические процессы на базе Windows должны прописать или зарегистрировать класс Windows, который определяет внешний вид и поведение. Регистрация новых классов Windows может включать запрос на добавление до 40 байт EWM в выделенную память каждого экземпляра этого класса. Этот EWM предназначен для хранения данных, специфичных для этого окна, и имеет специальные функции API для установки и получения его значения.
Несмотря на небольшой размер, EWM достаточен для хранения 32-битного указателя и часто используется для указания на процедуру Windows. Вредоносное ПО может использовать эту ячейку памяти в рамках цепочки атак, которая включает в себя запись кода в общие разделы памяти процесса, размещение указателя на код в EWM, а затем вызов выполнения, возвращая управление выполнением по адресу в EWM процесса.
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки
Операционная система
Классификация
КЦД:
Целостность
?
STRIDE:
Повышение привилегий
?
Источники угрозы
Внешний нарушитель -
Средний потенциал
?
Внутренний нарушитель -
Средний потенциал
?
Техники ATT@CK:
T1055.011
Process Injection:
Extra Window Memory Injection
Adversaries may inject malicious code into process via Extra Window Memory (EWM) in order to evade process-based defenses as wel...
Связанные защитные меры
Ничего не найдено