Карточка уязвимости

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Возможность загрузки произвольных библиотек Port Monitors

Злоумышленники могут использовать Port Monitors для запуска вредоносной библиотеки DLL во время загрузки системы для закрепления в инфраструктуре или повышения привилегий.
Монитор портов может быть установлен злоумышленником с помощью вызова API AddMonitor, вредоносный процесс будет выполнен с разрешениями встроенной учетной записи СИСТЕМА. При наличии соответствующих разрешений существует возможность загрузить произвольную библиотеку DLL указав путь в разделе реестра:

 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Каталоги угроз

Техники ATT@CK:

T1547.010 Boot or Logon Autostart Execution: Port Monitors

Adversaries may use port monitors to run an attacker supplied DLL during system boot for persistence or privilege escalation. A ...

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Закрепление злоумышленника в ОС из-за возможности загрузки произвольных библиотек Port Monitors в ОС Windows Повышение привилегий НСД	Закрепление злоумышленника в ОС Повышение привилегий НСД	Возможность загрузки произвольных библиотек Port Monitors	ОС Windows
Повышение привилегий в ОС из-за возможности загрузки произвольных библиотек Port Monitors в ОС Windows Повышение привилегий Целостность	Повышение привилегий в ОС Повышение привилегий Целостность	Возможность загрузки произвольных библиотек Port Monitors	ОС Windows