V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1003Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Дамп учетных данных ОС

Злоумышленники могут пытаться выгрузить учетные данные для получения логинов учетных записей и материалов учетных данных, обычно в форме хеша или пароля в открытом тексте. Учетные данные можно получить из кешей ОС, памяти или структур. Затем учетные данные могут использоваться для осуществления перемещения внутри периметра и доступа к конфиденциальной информации. Некоторые из инструментов, упомянутых в связанных подтехниках, могут использоваться как злоумышленниками, так и профессиональными тестировщиками безопасности. Вероятно, существуют также дополнительные пользовательские инструменты.

Тактики

Получение учетных данных

Подтехники

T1003.001
Память LSASS
T1003.002
Диспетчер учетных записей безопасности
T1003.003
NTDS
T1003.004
Секреты LSA
T1003.005
Кешированные учетные данные домена
T1003.006
DCSync
T1003.007
Файловая система Proc
T1003.008
/etc/passwd и /etc/shadow

Платформы

LinuxmacOSWindows

Меры защиты

M1015
Настройка Active Directory
M1017
Обучение пользователей
M1025
Целостность привилегированных процессов
M1026
Управление привилегированными учётными записями
M1027
Парольные политики
M1028
Конфигурация операционной системы
M1040
Предотвращение подозрительного поведения на конечной точке
M1041
Шифрование чувствительных данных
M1043
Защита от получения учётных данных
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-150
Сбор данных из стандартных расположений ресурсов

Затронутые уязвимости (выводимые)

CVE-2025-41240Три Helm-чарта Bitnami монтируют Kubernetes Secrets в предсказуемом пути (/opt/bitnami/*/secrets) внутри корневого каталога веб-сервера. В уязвимых версиях это может привести к неаутентифицированному доступу к конфиденциальным данным через HTTP/S, если приложение доступно извне [1]. Рекомендуется обновиться до исправленной версии чарта. В качестве обходного решения можно использовать `usePasswordFiles=false` для хранения секретов в переменных окружения [1]. Источники: - [1] https://github.com/bitnami/charts/security/advisories/GHSA-wgg9-9qgw-529w
CVE-2024-39931Gogs до версии 0.13.0 позволяет удалять внутренние файлы.
CVE-2026-2331Агитлер может выполнять неаутентированные операции по чтению и записи в чувствительных областях файловой системы через AppEngine File Access по HTTP из-за ненадлежащих ограничений доступа. Критический каталог файловой системы был непреднамеренно выставлен через функцию доступа к файлам на основе HTTP, что позволяло доступ без аутентификации. Это включает в себя файлы параметров устройства, позволяющие злоумышленнику считывал и изменял настройки приложения, включая пароли, определенные клиентом. Кроме того, экспозиция пользовательского каталога приложений может позволить выполнять произвольный код Lua в среде AppEngine в песочнице.
CVE-2024-56731Gogs - это самостоялец с открытым исходным кодом сервис Git. До версии 0.13.3 все еще можно удалить файлы в каталоге .git и выполнить удаленное выполнение команды из-за недостаточного патча для CVE-2024-39931. Непривилегированные учетные записи пользователей могут выполнять произвольные команды в экземпляре Gogs с привилегиями учетной записи, указанным RUN_USER в конфигурации. Позволяет злоумышленникам получать доступ и изменять код любого пользователя, размещенный в одном и том же экземпляре. Эта проблема была исправлена в версии 0.13.3.
CVE-2024-53676Уязвимость обхода каталогов в Hewlett Packard Enterprise Insight Remote Support может позволить удаленное выполнение кода.
CVE-2024-39581Dell PowerScale InsightIQ, версии 5.0 - 5.1, содержит уязвимость, связанную с доступностью файлов или каталогов для внешних сторон. Неаутентифицированный злоумышленник с удаленным доступом может потенциально использовать эту уязвимость для чтения, изменения и удаления произвольных файлов.
CVE-2023-50164Злоумышленник может манипулировать параметрами загрузки файлов, чтобы включить обход путей, и в некоторых случаях это может привести к загрузке вредоносного файла, который может быть использован для выполнения удаленного кода. Пользователям рекомендуется обновиться до версий Struts 2.5.33 или Struts 6.3.0.2 или новее, чтобы устранить эту проблему.
CVE-2023-48710iTop — это платформа управления ИТ-услугами. Файлы из папки `env-production` можно получить, даже если доступ к ним должен быть ограничен. К счастью, в этой папке изначально нет конфиденциальных файлов, но они могут быть из стороннего модуля. Сценарий `pages/exec.php` был исправлен, чтобы ограничить выполнение только файлов PHP. Другие типы файлов не будут извлекаться и раскрываться. Уязвимость исправлена в версиях 2.7.10, 3.0.4, 3.1.1 и 3.2.0.
CVE-2023-29931laravel-s 3.7.35 уязвим для включения локальных файлов через /src/Illuminate/Laravel.php.
CVE-2022-26520В pgjdbc до 42.3.3 злоумышленник (который контролирует URL-адрес или свойства jdbc) может вызывать java.util.logging.FileHandler для записи в произвольные файлы через свойства подключения loggerFile и loggerLevel. Примером ситуации является то, что злоумышленник может создать исполняемый JSP-файл в корневом каталоге Tomcat. ПРИМЕЧАНИЕ: позиция поставщика заключается в том, что нет уязвимости pgjdbc; вместо этого это уязвимость для любого приложения использовать драйвер pgjdbc с ненадежными свойствами подключения.
CVE-2020-12743В Gazie 7.32 обнаружена проблема. Успешная установка не удаляет и не блокирует (или каким-либо другим образом предотвращает использование) собственный файл /setup/install/setup.php, что означает, что любой может запросить его без аутентификации. Этот файл позволяет произвольное включение PHP-файлов через параметр hidden_req POST.
CVE-2017-14942Устройства Intelbras WRN 150 позволяют удаленным злоумышленникам читать файл конфигурации и, следовательно, обходить аутентификацию через прямой запрос к cgi-bin/DownloadCfg/RouterCfm.cfg, содержащий cookie admin:language=pt.
CVE-2017-10930ZXR10 1800-2S до версии v3.00.40 неправильно ограничивает доступ к ресурсу от неавторизованного субъекта, в результате чего обычные пользователи могут загружать файлы конфигурации для кражи информации, такой как учетные записи и пароли администратора.
CVE-2015-5211В некоторых ситуациях Spring Framework версий 4.2.0 - 4.2.1, 4.0.0 - 4.1.7, 3.2.0 - 3.2.14 и более старых неподдерживаемых версий уязвим для атаки Reflected File Download (RFD). Атака включает в себя создание злоумышленником URL-адреса с расширением пакетного сценария, который приводит к загрузке ответа, а не к его отображению, а также включает в себя некоторый ввод, отраженный в ответе.
CVE-2026-2330Злоумышленник может получить доступ к ограниченным областям файловой системы на устройстве через интерфейс CROWN REST из-за неполного применения белого списка. Некоторые каталоги, предназначенные для внутреннего тестирования, не были охвачены белым списком и доступны без аутентификации. Неаутентифицированный злоумышленник может разместить манипулируемый файл параметра, который становится активным после перезагрузки, что позволяет изменять критические параметры устройства, включая конфигурацию сети и параметры приложения.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.