Главное меню

Карточка уязвимости

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Добавление библиотек через Security Support Provider Interface (SSPI)

Злоумышленник может воспользоваться возможностью добавления вредоносного кода (в виде библиотек DLL) используя программный интерфейс в Microsoft Windows между приложениями и провайдерами безопасности (SSPI).
Библиотеки DLL Windows SSP загружаются в процесс Local Security Authority (LSA) при запуске системы. После загрузки в LSA библиотеки DLL SSP получают доступ к зашифрованным и открытым паролям, хранящимся в Windows.

Конфигурация SSP хранится в двух разделах реестра:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages

Злоумышленник может изменить эти разделы реестра, чтобы добавить новые SSP, которые будут загружены при следующей загрузке системы или при вызове функции AddSecurityPackage Windows API.

Каталоги угроз

Техники ATT@CK:

T1547.005 Boot or Logon Autostart Execution: Security Support Provider

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Закрепление злоумышленника в ОС из-за добавления библиотек через Security Support Provider Interface (SSPI) в ОС Windows Повышение привилегий НСД	Закрепление злоумышленника в ОС Повышение привилегий НСД	Добавление библиотек через Security Support Provider Interface (SSPI)	ОС Windows
Повышение привилегий в ОС из-за добавления библиотек через Security Support Provider Interface (SSPI) в ОС Windows Повышение привилегий Целостность	Повышение привилегий в ОС Повышение привилегий Целостность	Добавление библиотек через Security Support Provider Interface (SSPI)	ОС Windows