V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1543Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Создание или изменение системного процесса

Злоумышленники могут создавать или изменять процессы системного уровня для повторного выполнения вредоносных полезных нагрузок в рамках закрепления. Когда операционные системы загружаются, они могут запускать процессы, выполняющие фоновые системные функции. В Windows и Linux эти системные процессы называются службами. В macOS процессы launchd, известные как демон запуска и агент запуска, запускаются для завершения инициализации системы и загрузки параметров, специфичных для пользователя. Злоумышленники могут устанавливать новые службы, демоны или агенты, которые могут быть настроены на выполнение при запуске или с повторяющимся интервалом для установления закрепления. Аналогично, злоумышленники могут изменять существующие службы, демоны или агенты для достижения того же эффекта. Службы, демоны или агенты могут быть созданы с привилегиями администратора, но выполняться с привилегиями root/SYSTEM. Злоумышленники могут использовать эту функциональность для создания или изменения системных процессов с целью повышения привилегий.

Тактики

ЗакреплениеПовышение привилегий

Подтехники

T1543.001
Агент запуска
T1543.002
Служба Systemd
T1543.003
Служба Windows
T1543.004
Демон запуска
T1543.005
Контейнерная служба

Платформы

ContainersLinuxmacOSWindows

Меры защиты

M1018
Управление учётными записями пользователей
M1022
Ограничение прав доступа к файлам и каталогам
M1026
Управление привилегированными учётными записями
M1028
Конфигурация операционной системы
M1033
Ограничение установки программного обеспечения
M1040
Предотвращение подозрительного поведения на конечной точке
M1045
Подписание кода
M1047
Аудит
M1054
Конфигурация программного обеспечения
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-550
Установка новой службы
CAPEC-551
Модификация существующей службы

Затронутые уязвимости (выводимые)

CVE-2026-30966Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.5.2-alpha.7 and 8.6.20, Parse Server's internal tables, which store Relation field mappings such as role memberships, can be directly accessed via the REST API or GraphQL API by any client using only the application key. No master key is required. An attacker can create, read, update, or delete records in any internal relationship table. Exploiting this allows the attacker to inject themselves into any Parse Role, gaining all permissions associated with that role, including full read, write, and delete access to classes protected by role-based Class-Level Permissions (CLP). Similarly, writing to any such table that backs a Relation field used in a pointerFields CLP bypasses that access control. This vulnerability is fixed in 9.5.2-alpha.7 and 8.6.20.
CVE-2026-2768Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-21962Vulnerability in the Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in product of Oracle Fusion Middleware (component: Weblogic Server Proxy Plug-in for Apache HTTP Server, Weblogic Server Proxy Plug-in for IIS). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in. While the vulnerability is in Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in accessible data as well as unauthorized access to critical data or complete access to all Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in accessible data. Note: Affected version for Weblogic Server Proxy Plug-in for IIS is 12.2.1.4.0 only. CVSS 3.1 Base Score 10.0 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).
CVE-2026-21636A flaw in Node.js's permission model allows Unix Domain Socket (UDS) connections to bypass network restrictions when `--permission` is enabled. Even without `--allow-net`, attacker-controlled inputs (such as URLs or socketPath options) can connect to arbitrary local sockets via net, tls, or undici/fetch. This breaks the intended security boundary of the permission model and enables access to privileged local services, potentially leading to privilege escalation, data exposure, or local code execution. * The issue affects users of the Node.js permission model on version v25. In the moment of this vulnerability, network permissions (`--allow-net`) are still in the experimental phase.
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird
CVE-2025-54863Radiometrics VizAir is vulnerable to exposure of the system's REST API key through a publicly accessible configuration file. This allows attackers to remotely alter weather data and configurations, automate attacks against multiple instances, and extract sensitive meteorological data, which could potentially compromise airport operations. Additionally, attackers could flood the system with false alerts, leading to a denial-of-service condition and significant disruption to airport operations. Unauthorized remote control over aviation weather monitoring and data manipulation could result in incorrect flight planning and hazardous takeoff and landing conditions.
CVE-2025-54339An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2 exploitable remotely for Escalation of Privileges.
CVE-2024-22216В установках по умолчанию Microchip maxView Storage Manager (для Adaptec Smart Storage Controllers), где сервер Redfish настроен для удаленного управления системой, может произойти несанкционированный доступ с изменением данных и раскрытием информации. Это влияет на версии с 3.00.23484 по 4.14.00.26064 (за исключением исправленных версий 3.07.23980 и 4.07.00.25339).
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux, 64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз. Эта проблема затрагивает Identity Manager Advanced Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2023-29130Обнаружена уязвимость в SIMATIC CN 4100 (все версии < V2.5). Затронутое устройство состоит из неправильных средств контроля доступа в файлах конфигурации, что приводит к повышению привилегий. Злоумышленник может получить доступ администратора с помощью этой уязвимости, что приведет к полному контролю над устройством.
CVE-2022-32158Серверы развертывания Splunk Enterprise в версиях до 8.1.10.1, 8.2.6.1 и 9.0 позволяют клиентам развертывать пакеты пересылки другим клиентам развертывания через сервер развертывания. Злоумышленник, скомпрометировавший конечную точку Universal Forwarder, может использовать уязвимость для выполнения произвольного кода на всех других конечных точках Universal Forwarder, подписанных на сервер развертывания.
CVE-2021-38454Уязвимость обхода пути в программном обеспечении Moxa MXview Network Management версий 3.x до 3.2.2 может позволить злоумышленнику создавать или перезаписывать критические файлы, используемые для выполнения кода, такие как программы или библиотеки.
CVE-2021-3554Уязвимость Improper Access Control в API patchesUpdate, реализованная в Bitdefender Endpoint Security Tools для Linux в качестве роли ретранслятора, позволяет злоумышленнику манипулировать удаленным адресом, используемым для получения патчей. Эта проблема затрагивает: Bitdefender Endpoint Security Tools для Linux версий до 6.6.27.390; версии до 7.1.2.33. Bitdefender Unified Endpoint версий до 6.2.21.160. Bitdefender GravityZone версий до 6.24.1-1.
CVE-2020-13753Песочница bubblewrap WebKitGTK и WPE WebKit версий до 2.28.3 не смогла должным образом заблокировать доступ к CLONE_NEWUSER и ioctl TIOCSTI. CLONE_NEWUSER потенциально можно использовать для запутывания xdg-desktop-portal, который предоставляет доступ за пределы песочницы. TIOCSTI можно использовать для непосредственного выполнения команд за пределами песочницы, записывая в буфер ввода управляющего терминала, аналогично CVE-2017-5226.
CVE-2020-12493Открытый порт, используемый для отладки в SWARCO CPU LS4000 Series с версиями, начинающимися с G4..., предоставляет root-доступ к устройству без контроля доступа через сеть. Злоумышленник может использовать эту уязвимость для получения доступа к устройству и нарушения работы подключенных устройств.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.