Карточка уязвимости

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Возможность загрузки произвольных библиотек Port Monitors

Злоумышленники могут использовать Port Monitors для запуска вредоносной библиотеки DLL во время загрузки системы для закрепления в инфраструктуре или повышения привилегий.
Монитор портов может быть установлен злоумышленником с помощью вызова API AddMonitor, вредоносный процесс будет выполнен с разрешениями встроенной учетной записи СИСТЕМА. При наличии соответствующих разрешений существует возможность загрузить произвольную библиотеку DLL указав путь в разделе реестра:

 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Каталоги

Техники ATT@CK:

T1547.010 Boot or Logon Autostart Execution: Port Monitors

Adversaries may use port monitors to run an adversary supplied DLL during system boot for persistence or privilege escalation. A...

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Закрепление злоумышленника в ОС из-за возможности загрузки произвольных библиотек Port Monitors в ОС Windows Повышение привилегий НСД	Закрепление злоумышленника в ОС Повышение привилегий НСД	Возможность загрузки произвольных библиотек Port Monitors	ОС Windows
Повышение привилегий в ОС из-за возможности загрузки произвольных библиотек Port Monitors в ОС Windows Повышение привилегий Целостность	Повышение привилегий в ОС Повышение привилегий Целостность	Возможность загрузки произвольных библиотек Port Monitors	ОС Windows