V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1543Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Создание или изменение системного процесса

Злоумышленники могут создавать или изменять процессы системного уровня для повторного выполнения вредоносных полезных нагрузок в рамках закрепления. Когда операционные системы загружаются, они могут запускать процессы, выполняющие фоновые системные функции. В Windows и Linux эти системные процессы называются службами. В macOS процессы launchd, известные как демон запуска и агент запуска, запускаются для завершения инициализации системы и загрузки параметров, специфичных для пользователя. Злоумышленники могут устанавливать новые службы, демоны или агенты, которые могут быть настроены на выполнение при запуске или с повторяющимся интервалом для установления закрепления. Аналогично, злоумышленники могут изменять существующие службы, демоны или агенты для достижения того же эффекта. Службы, демоны или агенты могут быть созданы с привилегиями администратора, но выполняться с привилегиями root/SYSTEM. Злоумышленники могут использовать эту функциональность для создания или изменения системных процессов с целью повышения привилегий.

Тактики

ЗакреплениеПовышение привилегий

Подтехники

T1543.001
Агент запуска
T1543.002
Служба Systemd
T1543.003
Служба Windows
T1543.004
Демон запуска
T1543.005
Контейнерная служба

Платформы

ContainersLinuxmacOSWindows

Меры защиты

M1018
Управление учётными записями пользователей
M1022
Ограничение прав доступа к файлам и каталогам
M1026
Управление привилегированными учётными записями
M1028
Конфигурация операционной системы
M1033
Ограничение установки программного обеспечения
M1040
Предотвращение подозрительного поведения на конечной точке
M1045
Подписание кода
M1047
Аудит
M1054
Конфигурация программного обеспечения
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-550
Установка новой службы
CAPEC-551
Модификация существующей службы

Затронутые уязвимости (выводимые)

CVE-2026-48907Уязвимость в расширении редактора JCE для Joomla позволяет создавать новые профили редакторов для пользователей без аутентификации, что в конечном итоге приводит к загрузке и исполнению кода PHP.
CVE-2026-46840Уязвимость в службах данных Oracle REST (компонент: Backend-as-a-Service). Поддерживаемые версии, которые затронуты, являются 24.2.0-26.1.0. Легко эксплуатируемая уязвимость позволяет неаутентифицируемому злоумышленнику с доступом к сети через HTTPS скомпрометировать службы Oracle REST Data Services. В то время как уязвимость находится в Oracle REST Data Services, атаки могут значительно повлиять на дополнительные продукты (изменение области). Успешные атаки этой уязвимости могут привести к поглощению Oracle REST Data Services. CVSS 3.1 Базовый балл 10,0 (Влияние конфиденциальности, целостности и доступности). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/N/UI:N/S:C/C/H/I:H/H/A:H/A:H).
CVE-2026-46695Boxlite - это сервис песочницы, который позволяет пользователям создавать легкие виртуальные машины (Boxes) и запускать в них контейнеры OCI для запуска ненадежного кода. До версии 0.9.0 Boxlite не ограничивает возможности ядра, доступные внутри контейнера, вредоносный код может перемонтировать каталог в режиме rw, тем самым получив доступ к записи в этом каталоге. Это позволяет вредоносному коду выполнять произвольные операции записи в каталогах, которые должны быть только для чтения. Эта проблема была исправлена в версии 0.9.0.
CVE-2026-35435Повышение привилегий в Azure AI Foundry
CVE-2026-34908Выполнение произвольного кода в UniFi OS Server
CVE-2026-31843Пакет goodoneuz/pay-uz Laravel (<= 2.2.24) содержит критическую уязвимость в конечной точке /payment/api/editable/update, которая позволяет неаутентифицированным злоумышленникам перезаписать существующие файлы PHP. Кроненная точка подвергается воздействию через маршрут::any() без промежуточного программного обеспечения аутентификации, что обеспечивает удаленный доступ без учетных данных. Вход, контролируемый пользователем, напрямую записывается в исполняемые файлы PHP с помощью file_put_contents(). Эти файлы позже выполняются через потребующего() во время обычных рабочих процессов обработки платежей, что приводит к удаленному выполнению кода при поведении приложения по умолчанию. Оплатный секретный токен, упомянутый продавцом, не связан с этой конечной точкой и не смягчает уязвимость.
CVE-2026-30966Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.5.2-альфа.7 и 8.6.20 внутренние таблицы Parse Server, в которых хранятся отображения полей отношений, такие как членство в ролях, могут быть напрямую доступны через REST API или GraphQL API любым клиентом, использующего только ключ приложения. Не требуется мастер-ключ. Агрессор может создавать, читать, обновлять или удалять записи в любой таблице внутренних отношений. Эксплуатация этого позволяет злоумышленнику вводить себя в любую роль Парса, получая все разрешения, связанные с этой ролью, включая полное чтение, запись и удаление доступа к классам, защищенным разрешениями на уровне класса (CLP). Аналогично, написание на любую такую таблицу, которая поддерживает поле Отношения, используемое в указательном поле, обходит этот контроль доступа. Эта уязвимость зафиксирована в пунктах 9.5.2-альфа.7 и 8.6.20.
CVE-2026-2768Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-21962Уязвимость в Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in продукта Oracle Fusion Middleware (компонент: площадка Weblogic Server Proxy для Apache HTTP Server, площадка Weblogic Server Proxy для IIS). Поддерживаемые версии, которые затронуты, являются 12.2.1.4.0, 14.1.1.0.0 и 14.1.2.0.0. Легко эксплуатируемая уязвимость позволяет неаутентификированному злоумышленнику с сетевым доступом через HTTP, чтобы скомпрометировать Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in. В то время как уязвимость находится в Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, атаки могут значительно повлиять на дополнительные продукты (изменение области). Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критически важным данным или всем данным Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, а также к несанкционированному доступу к критически важным данным или полному доступу к всем данным Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in. Примечание: Затронутая версия для Weblogic Server Proxy Plug-in для IIS является только 12.2.1.4.0. CVSS 3.1 Базовый балл 10,0 (Влияние конфиденциальности и целостности). Вектор CVSS: (CVSS:3:3/N/AC:L/N/UI:N/S:C/C:H/I:H/I:H/A:N/N/N/S:C:H/I:H/A:N).
CVE-2026-21636Недостаток в модели разрешения Node.js позволяет соединениям Unix Domain Socket (UDS) обходить сетевые ограничения, когда «--разрешение включено». Даже без `--all-net-net входов, контролируемых злоумышленниками (такими как URL-адреса или опции socketPath) могут подключаться к произвольным локальным розеткам через net, tls или unddici/fetch. Это нарушает предполагаемую границу безопасности модели разрешения и обеспечивает доступ к привилегированным местным услугам, что потенциально может привести к эскалации привилегий, раскрытию данных или исполнению местного кода. * Проблема затрагивает пользователей модели разрешения Node.js на версии v25. В момент этой уязвимости сетевые разрешения (`-- пуск-net``) все еще находятся в экспериментальной фазе.
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird
CVE-2025-54863Radiometrics VizAir уязвим для воздействия клавиши REST API системы через общедоступный конфигурационный файл. Это позволяет злоумышленникам удаленно изменять данные о погоде и конфигурации, автоматизировать атаки против нескольких случаев и извлекать конфиденциальные метеорологические данные, которые потенциально могут скомпрометировать операции аэропорта. Кроме того, злоумышленники могут наводнить систему ложными оповещениями, что приводит к состоянию отказа в обслуживании и значительным сбоям в работе аэропорта. Несанкционированный дистанционный контроль авиационного мониторинга погоды и манипулирование данными может привести к неправильному планированию полетов и опасным условиям взлета и посадки.
CVE-2025-54339Неправильная уязвимость контроля доступа была обнаружена в сервере приложений настольных оповещений PingAlert версии 6.1.0.11-6.1.1.2, используемая удаленно для эскалации привилегий.
CVE-2024-22216В установках по умолчанию Microchip maxView Storage Manager (для Adaptec Smart Storage Controllers), где сервер Redfish настроен для удаленного управления системой, может произойти несанкционированный доступ с изменением данных и раскрытием информации. Это влияет на версии с 3.00.23484 по 4.14.00.26064 (за исключением исправленных версий 3.07.23980 и 4.07.00.25339).
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux, 64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз. Эта проблема затрагивает Identity Manager Advanced Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.