sethc.exe 可能的后门
critical Nessus 插件 ID 73026
语言:
简介
远程主机上存在一个可能的后门。描述
远程主机上 Windows“System32”目录中的“sethc.exe”副本似乎已被修改,可能会被用作后门。文件属性“InternalName”和/或“OriginalFilename”不再匹配原始文件。此文件是 Windows“粘滞键”功能的一部分,当按下 Shift 键多次时会以 SYSTEM 权限从登录屏幕启动该文件。使用例如 md.exe 替换原始文件后,具有主机访问权限的攻击者可绕过认证并获取命令 shell,继而完全控制主机。
解决方案
验证“sethc.exe”文件的内容,以及系统是否已破坏(如果适用)。另见
插件详情
严重性: Critical
ID: 73026
文件名: smb_sethc_backdoor.nasl
版本: 1.4
类型: local
代理: windows
系列: Windows
发布时间: 2014/3/14
最近更新时间: 2018/11/15
支持的传感器: Nessus Agent, Nessus
风险信息
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE: cpe:/o:microsoft:windows
必需的 KB 项: SMB/Registry/Enumerated