Карточка риска

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Угроза

Боковое перемещение злоумышленника по локальной сети

из-за уязвимости

Возможность удаленного управления по протоколу RPC (DCOM)

в Активе

ОС Windows

Описание угрозы

Тактика бокового движения (Lateral Movement) включает методы получения злоумышленником доступа и контроля над удаленными системами, подключенными к атакованной сети, а так же, в некоторых случаях, запуска вредоносных инструментов на удаленных системах, подключенных к атакованной сети. Боковое перемещение по сети позволяет злоумышленнику получать информацию из удаленных систем без использования дополнительных инструментов, таких как утилиты удаленного доступа (RAT).

Описание уязвимости

Удалённый вызов процедур, (вызов удалённых процедур, от англ. Remote Procedure Call, RPC) — класс технологий, позволяющих компьютерным программам вызывать функции или процедуры в другом адресном пространстве (как правило, на удалённых компьютерах). DCOM — протокол, который расширяет функциональность Component Object Model (COM), позволяя компонентам программного обеспечения взаимодействовать не только в рамках локальной системы, но и по сети, используя технологию удаленного вызова процедур (RPC), с компонентами приложений других систем. COM является компонентом Windows API. Посредством COM клиентский объект может вызвать метод серверного объекта, обычно это DLL-библиотеки или Exe-файлы. Разрешения на взаимодействие с локальным или удаленным серверным COM-объектом определяются с помощью ACL-листов в реестре. По умолчанию, только администраторы могут удаленно активировать и запускать COM-объекты посредством DCOM.

Описание типа актива

Microsoft Windows любых версий

Область действия: Вся организация

Объекты атаки Локальная сеть

Классификация

КЦД: Конфиденциальность Целостность

Источники угрозы

Внешний нарушитель - Низкий потенциал

Внутренний нарушитель - Низкий потенциал

Каталоги

Связанные защитные меры

	Название	Дата	Влияние
Community 9 31 / 97	Выделение ключевых систем в отдельную сеть (сегментация сети) Вручную Техническая Превентивная 03.05.2022	03.05.2022	9 31 / 97
Community 7 5 / 42	Межсетевое экранирование на границе сети Автоматически Техническая Превентивная 03.06.2021	03.06.2021	7 5 / 42

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.