T1078Enterprise
Действительные учетные записи
Злоумышленники могут получать и использовать учетные данные существующих учетных записей как средство получения первоначального доступа, закрепления, повышения привилегий или предотвращения обнаружения. Скомпрометированные учетные данные могут использоваться для обхода средств контроля доступа, размещенных на различных ресурсах в системах внутри сети, и могут даже использоваться для постоянного доступа к удаленным системам и внешне доступным службам, таким как VPN, Outlook Web Access, сетевые устройства и удаленный рабочий стол. Скомпрометированные учетные данные также могут предоставить злоумышленнику повышенные привилегии для конкретных систем или доступ к ограниченным областям сети. Злоумышленники могут решить не использовать вредоносное ПО или инструменты в сочетании с легитимным доступом, который предоставляют эти учетные данные, чтобы затруднить обнаружение их присутствия. В некоторых случаях злоумышленники могут использовать неактивные учетные записи: например, принадлежащие лицам, которые больше не являются частью организации. Использование этих учетных записей может позволить злоумышленнику избежать обнаружения, поскольку первоначальный пользователь учетной записи не будет присутствовать для выявления любой аномальной активности, происходящей в его учетной записи. Пересечение разрешений для локальных, доменных и облачных учетных записей в сети систем вызывает озабоченность, поскольку злоумышленник может разворачиваться между учетными записями и системами, чтобы достичь высокого уровня доступа (т.е. администратор домена или предприятия) для обхода средств контроля доступа, установленных в пределах предприятия.
Тактики
Первоначальный доступЗакреплениеПовышение привилегийПредотвращение обнаружения
Подтехники
Платформы
ContainersESXiIaaSIdentity ProviderLinuxmacOSNetwork DevicesOffice SuiteSaaSWindows
Меры защиты
M1013
Руководство для разработчиков приложений
M1015
Настройка Active Directory
M1017
Обучение пользователей
M1018
Управление учётными записями пользователей
M1026
Управление привилегированными учётными записями
M1027
Парольные политики
M1032
Многофакторная аутентификация
M1036
Политики использования учётных записей
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2025-54863Radiometrics VizAir уязвим для воздействия клавиши REST API системы через общедоступный конфигурационный файл. Это позволяет злоумышленникам удаленно изменять данные о погоде и конфигурации, автоматизировать атаки против нескольких случаев и извлекать конфиденциальные метеорологические данные, которые потенциально могут скомпрометировать операции аэропорта. Кроме того, злоумышленники могут наводнить систему ложными оповещениями, что приводит к состоянию отказа в обслуживании и значительным сбоям в работе аэропорта. Несанкционированный дистанционный контроль авиационного мониторинга погоды и манипулирование данными может привести к неправильному планированию полетов и опасным условиям взлета и посадки.
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux,
64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз.
Эта проблема затрагивает Identity Manager Advanced
Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2025-0867Обычный пользователь использует функцию запуска как для запуска приложений MEAC с административными привилегиями. Для обеспечения автоматического запуска системы учетные данные администратора были сохранены. В результате пользователь EPC2 может выполнять любые команды с административными привилегиями. Это позволяет повысить привилегии до уровня администратора.
CVE-2021-36783Уязвимость, связанная с недостаточно защищенными учетными данными в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов и членам проектов читать учетные данные, пароли и токены API, которые были сохранены в виде открытого текста и предоставлены через конечные точки API. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.4; Rancher версии до 2.5.13.
CVE-2019-1384Существует уязвимость обхода функции безопасности, при которой сообщение NETLOGON может получить ключ сеанса и подписывать сообщения. Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный запрос аутентификации, также известная как «Уязвимость обхода функции безопасности Microsoft Windows».
CVE-2026-8760Логин с OTP-плагин для WordPress уязвим для обхода аутентификации во всех версиях до 1,6. Это связано с неполным исправлением для CVE-2024-11178: проверка, добавленная к `otpl_login_action()`, была размещена только внутри ветки ОПТ-поколения и никогда не оценивается на ветке OTP-валидации, а сгенерированный 6-значный OTP также не истекает. Это позволяет неаутентифицированным злоумышленникам грубо принуждать к ОПТ-пространству с 900,000 значений для любой учетной записи пользователя (включая администраторов) и получить действующую `wp_set_auth_cookie()` сессию, что приведет к полному компромиссу сайта.
CVE-2026-6853Неправомерное ограничение уязвимостей попыток чрезмерной аутентификации в Başbelen Group Food Cafe Businesses Industry and Trade Ltd. Ко. Мобильное приложение Pause+ позволяет шунтировать аутентификацию.
Эта проблема затрагивает Pause+ Mobile App: от v1.0.6 до v1.5.
CVE-2026-43914Vaultwarden - это сервер, совместимый с Bitwarden, написанный на Rust. До 1.35.4 в Vaultwarden есть уязвимость безопасности, которая позволяет обойти защиту от силы логина, если включена электронная почта 2fa. Если электронная почта 2fa включена, незащищенная 2fa-функция send_email_login (email.rs, api endpoint /api/two-factor/send-email-login) также действует как оракул, определяющий, верна ли комбинация имя-пароль пользователя. Нападающий может злоупотреблять этой конечной точкой паролей грубой силы без ограничения скорости. Это работает даже для пользователей, у которых нет настроенной электронной почты 2fa. Эта уязвимость фиксируется в разделе 1.35.4.
CVE-2026-23658Недостаточно защищенные учетные данные в Azure DevOps позволяют несанкционированному злоумышленнику повысить привилегии над сетью.
CVE-2026-22278Версии Dell PowerScale OneFS до 9.13.0.0 содержат неправильную уязвимость попыток аутентификации. Неаутентифицированный злоумышленник с удаленным доступом потенциально может использовать эту уязвимость, что приведет к несанкционированному доступу.
CVE-2025-7393Модуль Mail Login для Drupal содержит уязвимость обхода защиты от атак перебора, позволяющую злоумышленникам обойти защиту и потенциально получить доступ к учетной записи. Рекомендуется обновить модуль до версии 3.2.0 или 4.2.0 [1].
Источники:
- [1] https://www.drupal.org/sa-contrib-2025-088
CVE-2025-63807Проблема была обнаружена в weijiang1994 университет-bbs (он же Blogin) в купи 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). Слабый механизм генерации проверочных кодов в сочетании с ограничением скорости пропуска позволяет злоумышленникам выполнять атаки грубой силы на проверочные коды без аутентификации. Успешная эксплуатация может привести к поглощению учетной записи с помощью сброса пароля или других методов обхода аутентификации.
CVE-2025-58587Приложение не реализует достаточные меры для предотвращения нескольких неудачных попыток аутентификации в течение короткого периода времени, что позволяет злоумышленнику угадывать учетные данные пользователя.
CVE-2025-56221В продукте SigningHub версии 8.6.8 (и ниже) отсутствует ограничение количества попыток входа в систему, что позволяет злоумышленнику без ограничения выполнять подбор паролей (brute‑force). Аутентификационный API /authenticate не реализует rate‑limit или блокировку учётных записей, повышая риск компрометации. Рекомендуется внедрить период охлаждения или ограничение запросов. Уязвимость исправлена в версиях > 8.6.8. [1] https://github.com/saykino/CVE-2025-56221
CVE-2025-55306GenX_FX - это авансированная торговая платформа IA, которая будет сосредоточена на торговле на рынке Форекс. Уязвимость была идентифицирована в бэкенде GenX FX, где ключи API и токены аутентификации могут быть обнаружены, если переменные среды неправильно настроены. Несанкционированные пользователи могут получить доступ к облачным ресурсам (Google Cloud, Firebase, GitHub и т.д.).
Совпадений нет — уточните фильтр.