Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администратора

AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод
Почему RID Hijacking возможен? Это возможно из-за слабостей в структуре управления учетными записями и недостаточного контроля над изменением SID в системах Windows. Операционная система полагается на SID для определения привилегий, и если его структура изменена, система не всегда способна распознать фальсификацию.Защита от RID Hijacking Мониторинг целостности учетных записей: Используйте инструменты для отслеживания изменений в SID и RID. Настройте мониторинг системных событий для отслеживания подозрительных действий. Минимизация прав доступа: Принцип минимальных привилегий (Least Privilege) для всех учетных записей. Ограничьте доступ к учетным записям, имеющим возможность изменять атрибуты других учетных записей. Использование современных систем защиты: Обновляйте операционную систему и устанавливайте патчи безопасности. Используйте решения EDR (Endpoint Detection and Response), которые могут выявлять и блокировать подобные атаки. Политики аудита и контроля: Включите аудит безопасности для отслеживания изменений в учетных записях. Настройте автоматические оповещения о подозрительных действиях, связанных с привилегиями учетных записей. RID Hijacking – это относительно скрытая техника повышения привилегий, которая требует от специалистов по безопасности внимания и применения соответствующих мер контроля.