Эксплуатация удаленных служб

Злоумышленники могут эксплуатировать удаленные службы для получения несанкционированного доступа к внутренним системам после проникновения в сеть. Эксплуатация уязвимости программного обеспечения происходит, когда злоумышленник использует ошибку программирования в программе, службе или в самом программном обеспечении операционной системы или ядре для выполнения кода, контролируемого злоумышленником. Общая цель эксплуатации удаленных служб после компрометации — горизонтальное перемещение для обеспечения доступа к удаленной системе. Злоумышленнику может потребоваться определить, находится ли удаленная система в уязвимом состоянии, что может быть сделано через Обнаружение сетевых служб или другие методы изучения, ищущие общее уязвимое программное обеспечение, которое может быть развернуто в сети, отсутствие определенных исправлений, которые могут указывать на уязвимости, или программное обеспечение безопасности, которое может использоваться для обнаружения или сдерживания удаленной эксплуатации. Серверы, вероятно, являются целью высокой ценности для эксплуатации горизонтального перемещения, но конечные системы также могут быть под угрозой, если они предоставляют преимущество или доступ к дополнительным ресурсам. Существует несколько хорошо известных уязвимостей, которые существуют в общих службах, таких как SMB и RDP, а также в приложениях, которые могут использоваться во внутренних сетях, таких как MySQL и службы веб-сервера. Кроме того, было множество уязвимостей в установках VMware vCenter, которые могут позволить субъектам угроз перемещаться горизонтально со скомпрометированного сервера vCenter на виртуальные машины или даже на гипервизоры ESXi. В зависимости от уровня разрешений уязвимой удаленной службы злоумышленник может достичь Эксплуатации для повышения привилегий в результате эксплуатации горизонтального перемещения.