T1112Enterprise
Изменение реестра
Злоумышленники могут взаимодействовать с реестром Windows в рамках различных техник для предотвращения обнаружения, закрепления и выполнения. Доступ к определенным областям реестра зависит от прав учетной записи, при этом некоторые ключи требуют прав администратора. Встроенная утилита командной строки Windows Reg может использоваться для локального или удаленного изменения реестра. Другие инструменты, такие как средства удаленного доступа, также могут содержать функциональность для взаимодействия с реестром через Windows API. Реестр может быть изменен для сокрытия конфигурационной информации или вредоносных полезных нагрузок через Обфускацию файлов или информации. Реестр также может быть изменен для Нарушения защиты, например, путем включения макросов для всех продуктов Microsoft Office, разрешения повышения привилегий без предупреждения пользователя, увеличения максимального количества разрешенных исходящих запросов и/или изменения систем для хранения учетных данных в открытом виде в памяти. Реестр удаленной системы может быть изменен для помощи в выполнении файлов в рамках горизонтального перемещения. Это требует, чтобы на целевой системе была запущена служба удаленного реестра. Часто требуются Действительные учетные записи, а также доступ к Общим ресурсам SMB/Windows Admin удаленной системы для RPC-коммуникации. Наконец, изменения реестра могут также включать действия по сокрытию ключей, такие как добавление нулевого символа в начало имени ключа, что вызовет ошибку и/или будет проигнорировано при чтении через Reg или другие утилиты, использующие Win32 API. Злоумышленники могут злоупотреблять этими псевдоскрытыми ключами для сокрытия полезных нагрузок/команд, используемых для поддержания закрепления.
Тактики
Ослабление защитыЗакрепление
Платформы
Windows
Меры защиты
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2026-45087Dalfox - это мощный сканер XSS с открытым исходным кодом и утилита, ориентированный на автоматизацию. До 2.13.0, когда dalfox запускается в режиме сервера REST API (сервера dalfox), сервер связывается с 0.0.0.0:6664 по умолчанию и не требует ключа API, если оператор явно не проходит -api-ключ. Поскольку model.Options, включая FoundAction и FoundActionShell, дезериализуется непосредственно от JSON, поставляемого злоумышленником, в POST/scan, и потому, что dalfox.iitialize явно распространяет эти два поля в конечным вариантам сканирования, не зачищая их, любой неаутентичный абонент, который может достичь порта сервера, может предоставить произвольную команду. Эта уязвимость исправлена в пункте 2.13.0.
CVE-2024-4326Уязвимость в parisneo/lollms-webui версий до 9.3 позволяет удаленным злоумышленникам выполнять произвольный код. Уязвимость связана с недостаточной защитой конечных точек `/apply_settings` и `/execute_code`. Злоумышленники могут обойти защиту, установив хост на localhost, включив выполнение кода и отключив проверку кода через конечную точку `/apply_settings`. Впоследствии произвольные команды могут выполняться удаленно через конечную точку `/execute_code`, используя задержку в применении настроек. Эта проблема была решена в версии 9.5.
CVE-2023-50252php-svg-lib — это библиотека для разбора/рендеринга SVG-файлов. До версии 0.5.1, при обработке тега `<use>`, который ссылается на тег `<image>`, он объединяет атрибуты из тега `<use>` с тегом `<image>`. Проблема возникает особенно тогда, когда атрибут `href` из тега `<use>` не был очищен. Это может привести к небезопасному чтению файла, что может вызвать уязвимость десериализации PHAR в PHP до версии 8. Версия 0.5.1 содержит исправление для этой проблемы.
CVE-2026-46399HAX CMS помогает управлять вселенной микросайтов с помощью PHP или NodeJs backends. PHP-версия HAX CMS до версии 26.0.0 имеет аутентифицированную уязвимость записи файлов. Злоумышленник может использовать эту уязвимость для настройки вредоносных команд фильтра Git и достижения выполнения кода на сервере HAX CMS. Версия 26.0.0 латирует проблему.
CVE-2024-39602Уязвимость внешнего управления конфигурацией существует в nas.cgi set_nas() функциональности Wavlink AC3000 M33A8.V5030.210505. Специально созданный HTTP-запрос может привести к произвольному выполнению команд. Злоумышленник может выполнить аутентифицированный HTTP-запрос для вызова этой уязвимости.
CVE-2024-39280В функциональности nas.cgi set_smb_cfg() Wavlink AC3000 M33A8.V5030.210505 существует уязвимость внешнего контроля конфигурации. Специально созданный HTTP-запрос может привести к произвольному выполнению команд. Злоумышленник может выполнить аутентифицированный HTTP-запрос для запуска этой уязвимости.
CVE-2024-38666В openvpn.cgi openvpn_client_setup() функциональности Wavlink AC3000 M33A8.V5030.210505 существует уязвимость внешнего контроля конфигурации. Специально созданный HTTP-запрос может привести к произвольному выполнению команд. Злоумышленник может сделать аутентифицированный HTTP-запрос, чтобы вызвать эту уязвимость.
CVE-2021-38453Некоторые функции API позволяют взаимодействовать с реестром, что включает в себя чтение значений, а также изменение данных.
CVE-2026-41489Pi-hole - это воронка DNS, которая защищает устройства от нежелательного контента без установки какого-либо программного обеспечения на стороне клиента. С 6.0 до Core 6.4.2 и FTL 6.6.1 два скрипта оболочки, выполненные в качестве корня по системам (pihole-FTL-prestart.sh и pihole-FTL-poststop.sh), читают путь files.pid из этой конфигурации без проверки и используют его в привилегированных файловых операциях (вводить и rm -f). Написав произвольный путь в file.pid, злоумышленник с привилегией пика может заставить root удалить, а затем воссоздать любой файл в системе за пределами каталогов ProtectSystem=full-ограниченный, получая доступ к нему. При установке Pi-отверстий по умолчанию это приводит к локальной эскалации привилегий, чтобы укорениться через манипулирование авторизованными ключами SSH. Если нет /root/.ssh/authorized_keys (по умолчанию на свежих установках), требуется только ExecStartPre. Если файл существует, ExecStopPst удаляет его первым, и один и тот же перезапуск запускает оба крючка в последовательности. Эта уязвимость исправлена в Core 6.4.2 и FTL 6.6.1.
CVE-2026-1784Ресурс Route OpenShift позволяет определить маршруты, чтобы сделать капсулы доступными в субдомене через HAProxy. Было установлено, что проверки, выполненные на строфе spec.path YAML в документе Route, были недостаточными и могли позволить контролируемую инъекцию конфигурации HAProxy.
CVE-2025-27889В Wing FTP Server до версии 7.4.4 обнаружена уязвимость, связанная с внедрением произвольной ссылки в параметр 'url' на странице 'downloadpass.html'. Это может привести к раскрытию пароля пользователя. Для устранения рекомендуется обновиться до версии 7.4.4 или выше [1].
Источники:
- [1] https://www.wftpserver.com/wftpserver.htm
CVE-2024-51544Уязвимости Service Control позволяют получить доступ к запросам на перезапуск сервиса и настройкам конфигурации виртуальной машины. Затронутые продукты: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02.
CVE-2024-51543Уязвимости Information Disclosure позволяют получить доступ к информации о конфигурации приложения. Затронутые продукты: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02.
CVE-2024-10979Некорректный контроль переменных окружения в PostgreSQL PL/Perl позволяет непривилегированному пользователю базы данных изменять важные переменные окружения процесса (например, PATH). Этого часто достаточно для выполнения произвольного кода, даже если у злоумышленника нет пользователя операционной системы сервера базы данных. Уязвимы версии до PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21.
CVE-2023-46248Cody - это помощник по кодированию с использованием искусственного интеллекта (AI). Расширение Cody AI VSCode версий 0.10.0–0.14.0 уязвимо для удаленного выполнения кода при определенных условиях. Злоумышленник, контролирующий вредоносный репозиторий, может изменить файл конфигурации Cody `.vscode/cody.json` и перезаписать команды Cody. Если пользователь с установленным расширением открывает этот вредоносный репозиторий и выполняет команду Cody, такую как /explain или /doc, это может позволить произвольное выполнение кода на компьютере пользователя. Уязвимость оценивается как критическая, но с низкой степенью использования. Требуется, чтобы у пользователя был загружен вредоносный репозиторий и выполнена перезаписанная команда в VS Code. Проблема может быть использована независимо от того, блокирует ли пользователь выполнение кода в репозитории через доверие рабочей области VS Code. Проблема была обнаружена во время обычного стороннего теста на проникновение. У сопровождающих Cody нет доказательств наличия в репозиториях с открытым исходным кодом вредоносных файлов `.vscode/cody.json` для использования этой уязвимости. Проблема исправлена в версии 0.14.1 расширения Cody VSCode. Если пользователи не могут быстро выполнить обновление, им не следует открывать какие-либо ненадежные репозитории с загруженным расширением Cody.
Совпадений нет — уточните фильтр.