Check Point Endpoint Security Initial Client для Windows до версии E81.30 пытается загрузить DLL, размещенную в любом месте PATH, на чистом…
Check Point Endpoint Security Initial Client для Windows до версии E81.30 пытается загрузить DLL, размещенную в любом месте PATH, на чистом образе без установленного Endpoint Client. Злоумышленник может использовать это для получения LPE с использованием специально созданной DLL, размещенной в любом месте PATH, доступном с правами записи для пользователя.
Выполнение команд или загрузка библиотек из ненадёжного источника или в ненадёжной среде могут привести к тому, что приложение выполнит вредоносные команды (и полезные нагрузки) в интересах злоумышленника.
https://cwe.mitre.org/data/definitions/114.html →Открыть в коллекции CWE →Злоумышленник использует стандартные методы внедрения SQL-кода для передачи данных в командную строку с целью их выполнения. Это может быть сделано напрямую — через злоупотребление такими директивами, как MSSQL_xp_cmdshell, — либо косвенно, путём внедрения данных в базу данных, которые впоследствии будут интерпретированы как команды командного интерпретатора. Через некоторое время непорядочное серверное приложение (или компонент того же приложения) извлекает внедрённые данные из базы данных и использует их в качестве аргументов командной строки без надлежащей проверки. Вредоносные данные выходят за пределы уровня данных, порождая новые команды для выполнения на хосте.
https://capec.mitre.org/data/definitions/108.html →Открыть в коллекции CAPEC →Злоумышленник использует ошибку в приложении, не проверяющем целостность выполняемого процесса, для выполнения произвольного кода в адресном пространстве отдельного активного процесса. Злоумышленник может использовать код, выполняемый в контексте другого процесса, для обращения к памяти процесса, системным/сетевым ресурсам и т. д. Цель данной атаки — уклонение от средств обнаружения и повышение привилегий путём маскировки вредоносного кода под легитимный процесс. Используемые подходы включают, но не ограничиваются: внедрение динамически подключаемых библиотек (DLL), внедрение переносимого исполняемого файла (PE), перехват выполнения потока, системные вызовы ptrace, перехват VDSO, перехват функций, рефлективную загрузку кода и другие.
https://capec.mitre.org/data/definitions/640.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| capsule_docs_standalone_client | * | Отслеживается |
| endpoint_security | * | Отслеживается |
| remote_access_clients | * | Отслеживается |