Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1212
Злоумышленники могут использовать уязвимости программного обеспечения в попытке получить учетные данные. Эксплуатация программной уязвимости происходит, когда злоумышленник использует ошибку в программе, службе или в самом программном обеспечении или ядре операционной системы для выполнения управляемого злоумышленником кода.
Механизмы проверки подлинности и аутентификации могут стать мишенью для эксплуатации злоумышленниками в качестве средства получения доступа к полезным учетным данным или обхода процесса получения аутентифицированного доступа к системам. Одним из примеров этого является `MS14-068`, который нацелен на Kerberos и может быть использован для подделки билетов Kerberos с использованием прав пользователей домена.(Цитата: Technet MS14-068)(Цитата: ADSecurity Detecting Forged Tickets) Другим примером этого являются атаки повторного воспроизведения, при которых Злоумышленник перехватывает пакеты данных, отправленные между сторонами, а затем воспроизводит эти пакеты.Если сервисы не проверяют должным образом запросы на аутентификацию, эти воспроизведенные пакеты могут позволить Злоумышленнику выдать себя за одну из сторон и получить несанкционированный доступ или привилегии.(Цитата: Bugcrowd Replay Attack)(Цитата: Comparitech Replay Attack)(Цитата: Microsoft Midnight Blizzard Replay Attack)
Подобная эксплуатация была продемонстрирована и в облачных средах.Например, Злоумышленники использовали уязвимости в инфраструктуре публичного облака, которые позволяли непреднамеренно создавать и обновлять токены аутентификации.(Цитата: Storm-0558 techniques for unauthorized email access)
Эксплуатация для доступа к учетным данным также может привести к повышению привилегий в зависимости от процесса или полученных учетных данных.
https://attack.mitre.org/techniques/T1212
Визуализация смежных техник для T1212
| № | Техника |
|---|
