Các lỗ hổng zero-day trong Windows Installer dành cho phần mềm quản lý và giám sát từ xa Atera có thể hoạt động như một bàn đạp để khởi động các cuộc tấn công leo thang đặc quyền.
Các lỗ hổng được Mandiant phát hiện vào ngày 28 tháng 2 năm 2023 đã được gán các mã định danh CVE-2023-26077 và CVE-2023-26078, với các sự cố đã được khắc phục trong các phiên bản 1.8.3.7 và 1.8.4.9 do Atera phát hành lần lượt vào ngày 17 tháng 4 năm 2023 và ngày 26 tháng 6 năm 2023.
Nhà nghiên cứu bảo mật Andrew Oliveau cho biết: “Khả năng bắt đầu một hoạt động từ ngữ cảnh NT AUTHORITY\SYSTEM có thể gây ra rủi ro bảo mật tiềm ẩn nếu không được quản lý đúng cách”. “Ví dụ: những kẻ tấn công có thể khai thác các Hành động tùy chỉnh được định cấu hình sai đang chạy dưới dạng NT AUTHORITY\SYSTEM để thực hiện các cuộc tấn công leo thang đặc quyền cục bộ.”
Việc khai thác thành công những điểm yếu như vậy có thể mở đường cho việc thực thi mã tùy ý với các đặc quyền nâng cao.
Cả hai lỗ hổng đều nằm trong chức năng sửa chữa của trình cài đặt MSI, có khả năng tạo ra một kịch bản trong đó các hoạt động được kích hoạt từ ngữ cảnh NT AUTHORITY\SYSTEM ngay cả khi chúng được khởi tạo bởi người dùng chuẩn.
Theo công ty tình báo về mối đe dọa thuộc sở hữu của Google, Atera Agent dễ bị tấn công leo thang đặc quyền cục bộ có thể bị khai thác thông qua chiếm quyền điều khiển DLL (CVE-2023-26077), sau đó có thể bị lạm dụng để lấy Dấu nhắc Lệnh với tư cách là người dùng NT AUTHORITY\SYSTEM.
Mặt khác, CVE-2023-26078 liên quan đến “việc thực thi các lệnh hệ thống kích hoạt Windows Console Host (conhost.exe) dưới dạng một tiến trình con”, do đó mở ra một “cửa sổ lệnh, nếu được thực thi với các đặc quyền nâng cao, kẻ tấn công có thể khai thác để thực hiện một cuộc tấn công leo thang đặc quyền cục bộ.”
Oliveau cho biết: “Hành động tùy chỉnh được định cấu hình sai có thể dễ dàng xác định và khai thác, do đó gây ra rủi ro bảo mật đáng kể cho các tổ chức”. “Điều cần thiết đối với các nhà phát triển phần mềm là phải xem xét kỹ lưỡng các Hành động tùy chỉnh của họ để ngăn chặn những kẻ tấn công chiếm quyền điều khiển các hoạt động của NT AUTHORITY\SYSTEM được kích hoạt bởi quá trình sửa chữa MSI.”
Tiết lộ này được đưa ra khi Kaspersky làm sáng tỏ thêm về lỗ hổng leo thang đặc quyền nghiêm trọng, hiện đã được khắc phục trong Windows (CVE-2023-23397, điểm CVSS: 9,8) đã bị khai thác tích cực bởi các tác nhân đe dọa bằng cách sử dụng một tác vụ, tin nhắn hoặc sự kiện lịch Outlook được chế tạo đặc biệt.
Mặc dù Microsoft đã tiết lộ trước đó rằng các nhóm nhà nước quốc gia Nga đã vũ khí hóa lỗi này kể từ tháng 4 năm 2022, bằng chứng do nhà cung cấp phần mềm chống vi-rút thu thập đã tiết lộ rằng các nỗ lực khai thác trong thế giới thực đã được thực hiện bởi một kẻ tấn công không xác định nhắm vào chính phủ và các thực thể cơ sở hạ tầng quan trọng ở Jordan, Ba Lan, Romania, Thổ Nhĩ Kỳ và Ukraine một tháng trước khi tiết lộ công khai.
Trả lời