Карточка уязвимости

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Возможность перехвата поиска библиотек DLL

ОС Windows использует общий метод поиска необходимых библиотек DLL для загрузки в программу. Захват DLL-файлов может осуществляться с целью закрепления в инфраструктуре, а также повышения привилегий и/или уклонения от ограничений на выполнение файлов.
Злоумышленник может разместить файлы вредоносной DLL заранее до легитимной библиотеки или заменить существующую библиотеку DLL, чтобы заставить программу загрузить вредоносную библиотеку DLL.
Если уязвимая для поиска программа настроена для запуска на более высоком уровне привилегий, то загружаемая библиотека DLL, контролируемая злоумышленником, также будет выполняться на более высоком уровне. В этом случае метод может быть использован для повышения привилегий.
Программы, которые становятся жертвами захвата пути, могут вести себя нормально, потому что вредоносные библиотеки DLL могут быть настроены также для загрузки легальных библиотек DLL, которые они должны были заменить.

Каталоги

Техники ATT@CK:

T1574.001 Hijack Execution Flow: DLL Search Order Hijacking

Связанные риски

Риск	Связи
Обход систем защиты из-за возможности перехвата поиска библиотек DLL в ОС Windows Повышение привилегий Целостность
Закрепление злоумышленника в ОС из-за возможности перехвата поиска библиотек DLL в ОС Windows Повышение привилегий НСД
Повышение привилегий в ОС из-за возможности перехвата поиска библиотек DLL в ОС Windows Повышение привилегий Целостность