Карточка уязвимости

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Подмена библиотек пакетов аутентификации в Local Security Authority

Злоумышленники могут подменять библиотеки пакетов аутентификации на произвольные библиотеки. Библиотеки DLL пакета проверки подлинности Windows загружаются процессом Local Security Authority (LSA) при запуске системы.

Злоумышленники могут использовать механизм автозапуска, предоставляемый пакетами аутентификации LSA для закрепления в инфраструктуре, поместив ссылку на двоичный файл в расположение реестра Windows:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\

со значением ключа "Пакеты аутентификации"=<целевой двоичный файл>.

Каталоги

Техники ATT@CK:

T1547.002 Boot or Logon Autostart Execution: Authentication Package

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за подмены библиотек пакетов аутентификации в Local Security Authority в ОС Windows Повышение привилегий НСД