V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1556Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Изменение процесса аутентификации

Злоумышленники могут изменять механизмы и процессы аутентификации для получения доступа к учетным данным пользователей или обеспечения иным образом неоправданного доступа к учетным записям. Процесс аутентификации обрабатывается механизмами, такими как процесс сервера локальной аутентификации безопасности (LSASS) и диспетчер учетных записей безопасности (SAM) в Windows, подключаемые модули аутентификации (PAM) в системах на базе Unix и плагины авторизации в системах macOS, отвечающие за сбор, хранение и проверку учетных данных. Изменяя процесс аутентификации, злоумышленник может аутентифицироваться в службе или системе без использования действительных учетных записей. Злоумышленники могут вредоносно изменить часть этого процесса, чтобы либо раскрыть учетные данные, либо обойти механизмы аутентификации. Скомпрометированные учетные данные или доступ можно использовать для обхода контроля доступа, установленного на различных ресурсах в системах сети, и даже для постоянного доступа к удаленным системам и внешне доступным службам, таким как VPN, Outlook Web Access и удаленный рабочий стол.

Тактики

Получение учетных данныхОслабление защитыЗакрепление

Подтехники

T1556.001
Аутентификация контроллера домена
T1556.002
DLL фильтра паролей
T1556.003
Подключаемые модули аутентификации
T1556.004
Аутентификация сетевого устройства
T1556.005
Обратимое шифрование
T1556.006
Многофакторная аутентификация
T1556.007
Гибридная идентичность
T1556.008
DLL сетевого провайдера
T1556.009
Политики условного доступа

Платформы

IaaSIdentity ProviderLinuxmacOSNetwork DevicesOffice SuiteSaaSWindows

Меры защиты

M1018
Управление учётными записями пользователей
M1022
Ограничение прав доступа к файлам и каталогам
M1024
Ограничение прав доступа к реестру
M1025
Целостность привилегированных процессов
M1026
Управление привилегированными учётными записями
M1027
Парольные политики
M1028
Конфигурация операционной системы
M1032
Многофакторная аутентификация
M1047
Аудит
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-665
Эксплуатация уязвимостей защиты Thunderbolt

Затронутые уязвимости (выводимые)

CVE-2026-47691Netty - это сетевое приложение для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, Netty's 'DnsResolveContext` недостаточно подтверждает бейливик записей NS, что позволяет DNS Cache Poisoning. Злоумышленник, управляющий авторитетным сервером имен для поддомена, может отравить кэш для родительских доменов (например, `.co.uk`). В методе `io.netty.resolver.dns.DnsResolveContext.AuthoritativeNameServerList#add` принимает любую запись NS из раздела AUTHORITY, если имя записи является суффиксом вопросного Имен. Впоследствии метод "рукадуWithWithAdditional" кэширует связанные записи A из ДОПОЛНИТЕЛЬНОГО раздела непосредственно в "авторитативного" сервераCache` под ключом родительского домена. Это обходит стандартные правила biliwick, где серверу, авторитетному для поддомена, не следует доверять, чтобы предоставить авторитетные записи для своего родителя. Затем отравленный кэш используется для всех будущих разрешений под ключом родительского домена. Версии 4.1.135.Final и 4.2.15.Final patch выпуск.
CVE-2026-45674Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, Netty's DnsResolveContext не в состоянии подтвердить происхождение (bailiwick) записей CNAME в ответах DNS. Версии 4.1.135.Финал и 4.2.15.Окончательный патч выпуск.
CVE-2026-34976Dgraph — это распределенная база данных GraphQL с открытым исходным кодом. До 25.3.1, мутация админа восстановленияTenant отсутствует в авторизационной промежуточной конфигурации (admin.go), что делает ее полностью неаутентифицированной. В отличие от аналогичной мутации восстановления, которая требует аутентификации Guardian-of-Galaxy, восстановлениеTenant выполняет с нулевым промежуточным программным обеспечением. Эта мутация принимает контролируемые злоубойка серверами резервного копирования URL-адреса (включая файл:// для доступа к локальной файловой системе), учетные данные S3/MinIO, пути шифрования ключевых файлов и пути учетных данных Vault. Неаутентифицированный злоумышленник может перезаписать всю базу данных, прочитать файлы на стороне сервера и выполнить SSRF. Эта уязвимость зафиксирована в пункте 25.3.1.
CVE-2026-31957Himmelblau - это пакет совместимости для Microsoft Azure Entra ID и Intune. С 3.0.0 до 3.1,0, если Himmelblau развернут без сконфигурированного домена арендатора в himmelblau.conf, аутентификация не является арендатором. В этом режиме Himmelblau может принимать попытки аутентификации для произвольных доменов Entra ID путем динамической регистрации провайдеров в режиме выполнения. Такое поведение предназначено для начальных / местных сценариев бутстрапа, но оно может создать риск в средах удаленной аутентификации. Эта уязвимость исправлена в 3.1.0.
CVE-2026-28775Неаутентифицированная уязвимость Remote Code Execution (RCE) существует в SNMP-сервисе International Datacasting Corporation (IDC) SFX серии SuperFlex SatelliteReceiver. По развертыванию небезопасно предусмотрено "частная" строка сообщества SNMP с доступом к чтению/писанию по умолчанию. Поскольку агент SNMP работает как root, неаутентифицированный удаленный злоумышленник может использовать директивы «NET-SNMP-EXTEND-MIB`», злоупотребляя тем фактом, что система использует уязвимую версию net-snmp pre 5.8 для выполнения произвольных команд операционной системы с привилегиями root.
CVE-2026-2031Уязвимость неправильный контроль доступа в нескольких внутренних конечных точках API для интеграции облачных приложений Google до 2026-01-23 позволяет удаленному, неаутентифицированному злоумышленнику раскрывать конфиденциальную внутреннюю информацию и выполнять произвольный код с использованием специально созданных HTTP-запросов для непреднамеренно обнажаемых внутренних конечных точек API.
CVE-2026-20079Выполнение произвольного кода в Cisco Secure Firewall Management Center
CVE-2025-64121Обход аутентификации С Использованием уязвимости альтернативного пути или канала в контроллере Nuation Energy Multi-Stack (MSC) позволяет обходить аутентификации.Эта проблема затрагивает контроллер Multi-Stack (MSC): от 2.3.8 до 2.5.1.
CVE-2025-45854JEHC-BPM 2.0.1 содержит уязвимость удаленного выполнения команд в компоненте /server/executeExec, позволяющую злоумышленникам выполнять произвольный код без авторизации [1]. Уязвимый метод executeExec принимает параметры, переданные пользователем, и выполняет команды без надлежащей проверки. Источники: - [1] https://gitee.com/jehc/JEHC-BPM - [2] https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460 - [3] https://web.archive.org/web/20250604134020/https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460/revisions
CVE-2025-41672Удаленный неаутентифицированный злоумышленник может использовать сертификаты по умолчанию для генерации JWT-токенов и получить полный доступ к инструменту и всем подключенным устройствам [1]. Уязвимость возникает из-за того, что система устанавливает одинаковые сертификаты для подписи JWT-токенов на всех установках вместо генерации уникальных. Это позволяет любому, кто имеет общий ключ, создавать действительные токены и выдавать себя за пользователей. Рекомендуется обновить WAGO Device Sphere до версии 1.0.1. Источники: - [1] https://cert.vde.com/en/advisories/VDE-2025-057 - [2] https://wago.csaf-tp.certvde.com/.well-known/csaf/white/2025/vde-2025-057.json
CVE-2025-30416Конфиденциальное раскрытие данных и манипулирование из-за отсутствия авторизации. Затрагиваются следующие продукты: Acronis Cyber Protect 16 (Linux, Windows) перед сборкой 39938, Acronis Cyber Protect 15 (Linux, Windows) перед сборкой 41800.
CVE-2025-22609Coolify — это инструмент с открытым исходным кодом и самохостинга для управления серверами, приложениями и базами данных. До версии 4.0.0-beta.361 отсутствующая авторизация позволяет любому аутентифицированному пользователю прикрепить любой существующий приватный ключ на экземпляре coolify к своему собственному серверу. Если серверная конфигурация IP/домен, порт (скорее всего 22) и пользователь (root) совпадает с конфигурацией сервера жертвы, то злоумышленник может использовать функцию `Terminal` и выполнять произвольные команды на сервере жертвы. В версии 4.0.0-beta.361 данная проблема исправлена.
CVE-2024-6500Плагин InPost for WooCommerce и плагин InPost PL для WordPress уязвимы для несанкционированного доступа и удаления данных из-за отсутствия проверки возможностей в функции 'parse_request' во всех версиях до 1.4.0 включительно (для InPost for WooCommerce), а также 1.4.4 (для InPost PL). Это делает возможным для неаутентифицированных злоумышленников читать и удалять произвольные файлы на серверах Windows. На серверах Linux будут удалены только файлы внутри установки WordPress, но все файлы могут быть прочитаны.
CVE-2024-6071PTC Creo Elements/Direct License Server предоставляет веб-интерфейс, который может быть использован не прошедшими проверку подлинности удаленными злоумышленниками для выполнения произвольных команд ОС на сервере.
CVE-2024-52416Отсутствие авторизации в Eugen Bobrowski Debug Tool позволяет загрузить веб-оболочку на веб-сервер. Эта проблема затрагивает Debug Tool: от n/a до 2.2.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.