Карточка уязвимости

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Возможность изменения программы по умолчанию для открытия файла

При открытии файла проверяется программа по умолчанию, используемая для открытия файла (так называемая ассоциация файлов). Выбранные ассоциации файлов хранятся в реестре Windows и могут быть отредактированы пользователями, администраторами или программами, имеющими доступ к реестру, или администраторами с помощью встроенной утилиты assoc.
Например, ассоциации системных файлов перечислены в разделе реестра:

HKEY_CLASSES_ROOT\.[extension]

Обработчики указаны по пути:

HKEY_CLASSES_ROOT\[handler]

Значения перечисленных ключей реестра являются командами, которые выполняются, когда обработчик открывает расширение файла:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\print\command
HKEY_CLASSES_ROOT\txtfile\shell\printto\command

Злоумышленники могут закрепиться в ОС изменив соответствующим образом приложения по умолчанию для популярных расширений или изменив выполняемые действия при открытии файлов.

Каталоги

БДУ ФСТЭК:

УБИ.015 Угроза доступа к защищаемым файлам с использованием обходного пути

Угроза заключается в возможности получения нарушителем доступа к скрытым/защищаемым каталогам или файлам посредством различных в...

Техники ATT@CK:

T1546.001 Event Triggered Execution: Change Default File Association

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за возможности изменения программы по умолчанию для открытия файла в ОС Windows Повышение привилегий НСД
Повышение привилегий в ОС из-за возможности изменения программы по умолчанию для открытия файла в ОС Windows Повышение привилегий Целостность