Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).

Описание уязвимости

При открытии файла проверяется программа по умолчанию, используемая для открытия файла (так называемая ассоциация файлов). Выбранные ассоциации файлов хранятся в реестре Windows и могут быть отредактированы пользователями, администраторами или программами, имеющими доступ к реестру, или администраторами с помощью встроенной утилиты assoc. 
Например, ассоциации системных файлов перечислены в разделе реестра:
HKEY_CLASSES_ROOT\.[extension]
Обработчики указаны по пути:
HKEY_CLASSES_ROOT\[handler]
Значения перечисленных ключей реестра являются командами, которые выполняются, когда обработчик открывает расширение файла:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\print\command
HKEY_CLASSES_ROOT\txtfile\shell\printto\command
Злоумышленники могут закрепиться в ОС изменив соответствующим образом приложения по умолчанию для популярных расширений или изменив выполняемые действия при открытии файлов. 

Описание типа актива

Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки Операционная система
Классификация
КЦД: Целостность ?
STRIDE: Повышение привилегий ?
Источники угрозы
Внешний нарушитель - Средний потенциал ?
Внутренний нарушитель - Средний потенциал ?

Каталоги

БДУ ФСТЭК:
УБИ.015 Угроза доступа к защищаемым файлам с использованием обходного пути ?
Угроза заключается в возможности получения нарушителем доступа к скрытым/защищаемым каталогам или файлам посредством различных в...
Техники ATT@CK:
T1546.001 Event Triggered Execution: Change Default File Association
Adversaries may establish persistence by executing malicious content triggered by a file type association. When a file is opened...

Связанные защитные меры

Ничего не найдено