Карточка уязвимости

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Возможность подмены файла службы Windows

Злоумышленник может выполнять ВПО, подменяя двоичные файлы, используемые службами для закрепления в системе, повышения привилегий или для обхода средств защиты. Если разрешения на каталог файловой системы, содержащий целевой двоичный файл, или разрешения на сам двоичный файл установлены неправильно, то целевой двоичный файл может быть перезаписан другим двоичным файлом с использованием разрешений уровня пользователя и выполнен исходным процессом. Если исходный процесс и поток выполняются с более высоким уровнем разрешений, то замененный двоичный файл также будет выполняться с более высокими разрешениями, например под встроенной учетной записью СИСТЕМА.

Каталоги

Техники ATT@CK:

T1574.010 Hijack Execution Flow: Services File Permissions Weakness

Связанные риски

Риск	Связи
Обход систем защиты из-за возможности подмены файла службы Windows в ОС Windows Повышение привилегий Целостность
Закрепление злоумышленника в ОС из-за возможности подмены файла службы Windows в ОС Windows Повышение привилегий НСД
Повышение привилегий в ОС из-за возможности подмены файла службы Windows в ОС Windows Повышение привилегий Целостность