T1574.009: Перехват поиска через не заключенный в кавычки путь
Злоумышленники могут запускать свою полезную нагрузку путем перехвата путей к файлам, указанных в уязвимом формате. Злоумышленники могут эксплуатировать пути, указанные без кавычек, помещая исполняемый файл не в конечный каталог пути, а в один из каталогов более высокого уровня, чтобы Windows запускала этот файл вместо легитимного.
Пути к службам (хранимые в реестре Windows) и пути в ярлыках также могут быть уязвимыми к перехвату пути, если путь имеет один или несколько пробелов и не заключен в кавычки (например, путь C:\unsafe path with space\program.exe
будет уязвимым, а "C:\safe path with space\program.exe"
— нет) . Злоумышленник может поместить исполняемый файл в каталог более высокого уровня, и Windows запустит этот файл вместо ожидаемого. Например, если в ярлыке указан путь C:\program files\myapp.exe
, злоумышленник может создать программу C:\program.exe
, которая будет запускаться вместо ожидаемой .
Этот метод может применяться для закрепления в системе, если исполняемые файлы вызываются регулярно, а также для повышения привилегий, если перехваченные исполняемые файлы запускаются процессом с более высоким уровнем привилегий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_privilege_escalation: PT-CR-2436: Unquoted_Service_Path_Abuse: Запуск исполняемого файла в качестве сервиса вместо оригинального файла в результате эксплуатации возможности обхода механизма поиска исполняемого файла для путей, содержащих пробелы и не заключенных в кавычки
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут выполнить полезную нагрузку путем перехвата ссылок на уязвимые пути к файлам. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, пути к которым являются усеченными путями к каталогам, проверяемым системой при запуске стандартных процессов по значению переменной окружения, либо другим каталогам, которые должны быть недоступны для записи пользователям. Кроме того, отслеживайте создание файлов для программ, имена которых совпадают с именами системных программ Windows или программ, обычно выполняемых без указания пути (например, |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут выполнять полезную нагрузку путем перехвата ссылок на уязвимые пути к файлам. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно. Очищайте реестр Windows от устаревших ключей при удалении программ, чтобы избежать наличия ключей, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Злоумышленники, скорее всего, будут пытаться размещать новые бинарные файлы в местах, позволяющих использовать данную уязвимость для их выполнения. Выявляйте и при необходимости блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP). |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы были установлены надлежащие разрешения и контроль доступа к каталогам, которые запрещают пользователям записывать файлы в каталог верхнего уровня
|
---|