Куда я попал?
Злоумышленники могут подменять библиотеки пакетов аутентификации на произвольные библиотеки. Библиотеки DLL пакета проверки подлинности Windows загружаются процессом Local Security Authority (LSA) при запуске системы.
Злоумышленники могут использовать механизм автозапуска, предоставляемый пакетами аутентификации LSA для закрепления в инфраструктуре, поместив ссылку на двоичный файл в расположение реестра Windows:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
со значением ключа "Пакеты аутентификации"=<целевой двоичный файл>.
Связанные риски
Риск | Связи | |
---|---|---|
Закрепление злоумышленника в ОС из-за
подмены библиотек пакетов аутентификации в Local Security Authority в ОС Windows
Повышение привилегий
НСД
|