sethc.exe のバックドアの可能性

critical Nessus プラグイン ID 73026

概要

リモートホストにバックドアの可能性が存在します。

説明

リモートホストの Windows「System32」ディレクトリの「sethc.exe」のコピーは、おそらくバックドアとして使用する目的で変更されたようです。「InternalName」または「OriginalFilename」ファイル属性のいずれかまたは両方は、もはや元のファイルと一致しません。

このファイルは Windows「Sticky Keys」機能の一部で、Shift キーが数回押されたときに SYSTEM 権限でログイン画面から起動されます。元のファイルを、例えば cmd.exe と置換することで、ホストにアクセスできる攻撃者が、認証をバイパスし、コマンドシェルを取得し、その後ホストを完全にコントロールできるようになる可能性があります。

ソリューション

「sethc.exe」ファイルのコンテンツを検証し、また必要に応じてシステムが危険にさらされていないかも確認してください。

参考資料

https://attack.mitre.org/wiki/Technique/T1015/

http://www.nessus.org/u?d368e978

プラグインの詳細

深刻度: Critical

ID: 73026

ファイル名: smb_sethc_backdoor.nasl

バージョン: 1.4

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2014/3/14

更新日: 2018/11/15

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/o:microsoft:windows

必要な KB アイテム: SMB/Registry/Enumerated