sethc.exe のバックドアの可能性
critical Nessus プラグイン ID 73026
Language:
概要
リモートホストにバックドアの可能性が存在します。説明
リモートホストの Windows「System32」ディレクトリの「sethc.exe」のコピーは、おそらくバックドアとして使用する目的で変更されたようです。「InternalName」または「OriginalFilename」ファイル属性のいずれかまたは両方は、もはや元のファイルと一致しません。このファイルは Windows「Sticky Keys」機能の一部で、Shift キーが数回押されたときに SYSTEM 権限でログイン画面から起動されます。元のファイルを、例えば cmd.exe と置換することで、ホストにアクセスできる攻撃者が、認証をバイパスし、コマンドシェルを取得し、その後ホストを完全にコントロールできるようになる可能性があります。
ソリューション
「sethc.exe」ファイルのコンテンツを検証し、また必要に応じてシステムが危険にさらされていないかも確認してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 73026
ファイル名: smb_sethc_backdoor.nasl
バージョン: 1.4
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2014/3/14
更新日: 2018/11/15
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: cpe:/o:microsoft:windows
必要な KB アイテム: SMB/Registry/Enumerated