Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
ОС Windows использует общий метод поиска необходимых библиотек DLL для загрузки в программу. Захват DLL-файлов может осуществляться с целью закрепления в инфраструктуре, а также повышения привилегий и/или уклонения от ограничений на выполнение файлов.
Злоумышленник может разместить файлы вредоносной DLL заранее до легитимной библиотеки или заменить существующую библиотеку DLL, чтобы заставить программу загрузить вредоносную библиотеку DLL.
Если уязвимая для поиска программа настроена для запуска на более высоком уровне привилегий, то загружаемая библиотека DLL, контролируемая злоумышленником, также будет выполняться на более высоком уровне. В этом случае метод может быть использован для повышения привилегий.
Программы, которые становятся жертвами захвата пути, могут вести себя нормально, потому что вредоносные библиотеки DLL могут быть настроены также для загрузки легальных библиотек DLL, которые они должны были заменить.
Злоумышленник может разместить файлы вредоносной DLL заранее до легитимной библиотеки или заменить существующую библиотеку DLL, чтобы заставить программу загрузить вредоносную библиотеку DLL.
Если уязвимая для поиска программа настроена для запуска на более высоком уровне привилегий, то загружаемая библиотека DLL, контролируемая злоумышленником, также будет выполняться на более высоком уровне. В этом случае метод может быть использован для повышения привилегий.
Программы, которые становятся жертвами захвата пути, могут вести себя нормально, потому что вредоносные библиотеки DLL могут быть настроены также для загрузки легальных библиотек DLL, которые они должны были заменить.
Техники ATT@CK:
T1574.001
Hijack Execution Flow:
DLL Search Order Hijacking
Adversaries may execute their own malicious payloads by hijacking the search order used to load DLLs. Windows systems use a comm...
Связанные риски
| Риск | Угроза | Уязвимость | Тип актива | Связи | |
|---|---|---|---|---|---|
|
Обход систем защиты
из-за
возможности перехвата поиска библиотек DLL
в ОС Windows
Повышение привилегий
Целостность
|
Обход систем защиты
Повышение привилегий
Целостность
|
Возможность перехвата поиска библиотек DLL | |||
|
Закрепление злоумышленника в ОС
из-за
возможности перехвата поиска библиотек DLL
в ОС Windows
Повышение привилегий
НСД
|
Закрепление злоумышленника в ОС
Повышение привилегий
НСД
|
Возможность перехвата поиска библиотек DLL | |||
|
Повышение привилегий в ОС
из-за
возможности перехвата поиска библиотек DLL
в ОС Windows
Повышение привилегий
Целостность
|
Повышение привилегий в ОС
Повышение привилегий
Целостность
|
Возможность перехвата поиска библиотек DLL |