V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1068Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Эксплуатация для повышения привилегий

Злоумышленники могут эксплуатировать уязвимости программного обеспечения в попытке повысить привилегии. Эксплуатация уязвимости программного обеспечения происходит, когда злоумышленник использует программную ошибку в программе, службе или в самом программном обеспечении операционной системы или ядре для выполнения кода, контролируемого злоумышленником. Конструкции безопасности, такие как уровни разрешений, часто препятствуют доступу к информации и использованию определенных техник, поэтому злоумышленникам, вероятно, потребуется выполнить повышение привилегий, включая использование эксплуатации программного обеспечения для обхода этих ограничений. При первоначальном получении доступа к системе злоумышленник может работать в процессе с более низкими привилегиями, что не позволит ему получить доступ к определенным ресурсам в системе. Уязвимости могут существовать, обычно в компонентах операционной системы и программном обеспечении, обычно работающем с более высокими разрешениями, которые можно эксплуатировать для получения более высоких уровней доступа к системе. Это может позволить кому-то перейти от непривилегированных или пользовательских разрешений к разрешениям SYSTEM или root в зависимости от уязвимого компонента. Это также может позволить злоумышленнику перейти из виртуализированной среды, такой как виртуальная машина или контейнер, на базовый хост. Это может быть необходимым шагом для злоумышленника, компрометирующего конечную систему, которая была правильно настроена и ограничивает другие методы повышения привилегий. Злоумышленники могут доставить подписанный уязвимый драйвер на скомпрометированную машину, чтобы эксплуатировать уязвимость для выполнения кода в режиме ядра. Этот процесс иногда называется "Принеси свой собственный уязвимый драйвер" (BYOVD). Злоумышленники могут включить уязвимый драйвер в файлы, доставленные во время первоначального доступа, или загрузить его на скомпрометированную систему через Передача инструмента проникновения или Передача инструмента горизонтального перемещения.

Тактики

Повышение привилегий

Платформы

ContainersLinuxmacOSWindows

Меры защиты

M1019
Программа анализа угроз
M1038
Предотвращение выполнения кода
M1048
Изоляция приложений и изолированная среда
M1050
Защита от эксплойтов
M1051
Обновление программного обеспечения
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.