T1574.009: Перехват поиска через не заключенный в кавычки путь

Злоумышленники могут запускать свою полезную нагрузку путем перехвата путей к файлам, указанных в уязвимом формате. Злоумышленники могут эксплуатировать пути, указанные без кавычек, помещая исполняемый файл не в конечный каталог пути, а в один из каталогов более высокого уровня, чтобы Windows запускала этот файл вместо легитимного.

Пути к службам (хранимые в реестре Windows) и пути в ярлыках также могут быть уязвимыми к перехвату пути, если путь имеет один или несколько пробелов и не заключен в кавычки (например, путь C:\unsafe path with space\program.exe будет уязвимым, а "C:\safe path with space\program.exe" — нет) . Злоумышленник может поместить исполняемый файл в каталог более высокого уровня, и Windows запустит этот файл вместо ожидаемого. Например, если в ярлыке указан путь C:\program files\myapp.exe, злоумышленник может создать программу C:\program.exe, которая будет запускаться вместо ожидаемой .

Этот метод может применяться для закрепления в системе, если исполняемые файлы вызываются регулярно, а также для повышения привилегий, если перехваченные исполняемые файлы запускаются процессом с более высоким уровнем привилегий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_privilege_escalation: PT-CR-2436: Unquoted_Service_Path_Abuse: Запуск исполняемого файла в качестве сервиса вместо оригинального файла в результате эксплуатации возможности обхода механизма поиска исполняемого файла для путей, содержащих пробелы и не заключенных в кавычки

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут выполнить полезную нагрузку путем перехвата ссылок на уязвимые пути к файлам.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, пути к которым являются усеченными путями к каталогам, проверяемым системой при запуске стандартных процессов по значению переменной окружения, либо другим каталогам, которые должны быть недоступны для записи пользователям. Кроме того, отслеживайте создание файлов для программ, имена которых совпадают с именами системных программ Windows или программ, обычно выполняемых без указания пути (например, findstr, net и python). Если данные действия не связаны с известными операциями администраторов, обновлениями, установкой ПО и исправлений, их можно считать подозрительными.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут выполнять полезную нагрузку путем перехвата ссылок на уязвимые пути к файлам.

Меры противодействия

IDM1047НазваниеАудитОписание

Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно.

Очищайте реестр Windows от устаревших ключей при удалении программ, чтобы избежать наличия ключей, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей.

IDM1038НазваниеЗащита от выполненияОписание

Злоумышленники, скорее всего, будут пытаться размещать новые бинарные файлы в местах, позволяющих использовать данную уязвимость для их выполнения. Выявляйте и при необходимости блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP).

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы были установлены надлежащие разрешения и контроль доступа к каталогам, которые запрещают пользователям записывать файлы в каталог верхнего уровня C: и системные каталоги, такие как C:\Windows</code> — это позволит уменьшить количество мест, куда могут быть помещены вредоносные файлы для выполнения. Требуйте, чтобы все исполняемые файлы размещались в каталогах, защищенных от записи.