Хакеры используют перехват Windows RID для создания скрытой учётной записи администратора
habr.comСеверокорейская группировка хакеров использует технику перехвата главного контроллера идентификатора (RID) в Windows, чтобы заставить операционную систему обрабатывать учётные записи с низкими привилегиями как профиль с правами администратора.Злоумышленники использовали вредоносный файл и инструмент с открытым исходным кодом для этих атак.
Обе утилиты способны выполнять атаку, но между ними существуют различия, отмечают исследователи из южнокорейской компании по кибербезопасности AhnLab.RID представляет собой часть идентификатора безопасности (SID) — уникального тега, назначаемого каждой учётной записи пользователя для различения.
