Куда я попал?
При открытии файла проверяется программа по умолчанию, используемая для открытия файла (так называемая ассоциация файлов). Выбранные ассоциации файлов хранятся в реестре Windows и могут быть отредактированы пользователями, администраторами или программами, имеющими доступ к реестру, или администраторами с помощью встроенной утилиты assoc.
Например, ассоциации системных файлов перечислены в разделе реестра:
Например, ассоциации системных файлов перечислены в разделе реестра:
HKEY_CLASSES_ROOT\.[extension]
Обработчики указаны по пути:
HKEY_CLASSES_ROOT\[handler]
Значения перечисленных ключей реестра являются командами, которые выполняются, когда обработчик открывает расширение файла:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\print\command
HKEY_CLASSES_ROOT\txtfile\shell\printto\command
Злоумышленники могут закрепиться в ОС изменив соответствующим образом приложения по умолчанию для популярных расширений или изменив выполняемые действия при открытии файлов.
БДУ ФСТЭК:
УБИ.015
Угроза доступа к защищаемым файлам с использованием обходного пути
Угроза заключается в возможности получения нарушителем доступа к скрытым/защищаемым каталогам или файлам посредством различных в...
Связанные риски
Риск | Связи | |
---|---|---|
Закрепление злоумышленника в ОС
из-за
возможности изменения программы по умолчанию для открытия файла
в ОС Windows
Повышение привилегий
НСД
|
|
|
Повышение привилегий в ОС
из-за
возможности изменения программы по умолчанию для открытия файла
в ОС Windows
Повышение привилегий
Целостность
|
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.