U N-Able-ovom Take Control Agent-u otkrivena je ozbiljna sigurnosna greška koju bi lokalni neprivilegirani haker mogao iskoristiti da dobije SYSTEM privilegije.
Praćen kao CVE-2023-27470 (CVSS rezultat: 8,8), problem se odnosi na ranjivost uvjeta utrke Time-of-Check to Time-of-Use (TOCTOU), koja se, kada se uspješno iskoristi, može iskoristiti za brisanje proizvoljnih datoteka na Windows sistemu.
Sigurnosni nedostatak, koji utiče na verzije 7.0.41.1141 i ranije, riješen je u verziji 7.0.43 objavljenoj 15. marta 2023. godine, nakon odgovornog otkrivanja od strane Mandiant-a 27. februara 2023. godine.
Time-of-Check to Time-of-Use spada u kategoriju softverskih nedostataka gdje program provjerava stanje resursa za određenu vrijednost, ali se ta vrijednost mijenja prije nego što se stvarno koristi, efektivno poništavajući rezultate provjere.
Iskorištavanje takve mane može rezultirati gubitkom integriteta i prevariti program da izvrši radnje koje inače ne bi trebao, čime bi se omogućilo hakeru da dobije pristup neovlaštenim resursima.
“Ova slabost može biti relevantna za sigurnost kada napadač može utjecati na stanje resursa između provjere i upotrebe”, prema opisu u sistemu Common Weakness Enumeration (CWE). “Ovo se može dogoditi sa zajedničkim resursima kao što su datoteke, memorija ili čak varijable u multithreaded programima.”
Prema Google-ovoj firmi za obavještavanje o prijetnjama, CVE-2023-27470 proizlazi iz stanja utrke TOCTOU u Take Control Agent-u (BASupSrvcUpdater.exe) između evidentiranja više događaja brisanja datoteka (npr. datoteka pod nazivom aaa.txt i bbb.txt) i svake akcije brisanja iz određene fascikle pod nazivom “C:\ProgramData\GetSupportService_N-Central\PushUpdates.”
“Jednostavno rečeno, dok je BASupSrvcUpdater.exe zabilježio brisanje aaa.txt, napadač je mogao brzo zamijeniti datoteku bbb.txt simboličkom vezom, preusmjeravajući proces na proizvoljni fajl na sistemu”, rekao je Andrew Oliveau, istraživač sigurnosti Mandiant-a .
“Ova radnja bi uzrokovala da proces nenamjerno izbriše datoteke kao NT AUTHORITY\SYSTEM.”
Što je još više zabrinjavajuće, ovo proizvoljno brisanje fajla moglo bi se naoružavati kako bi se osigurala povišeni Command Prompt korištenjem prednosti race condition napada koji cilja na funkcionalnost vraćanja instalera Windowsa, što može dovesti do izvršenja koda.
“Proizvoljno brisanje datoteka više nije ograničeno na napade uskraćivanja usluge i zaista može poslužiti kao sredstvo za postizanje povišenog izvršenja koda”, rekao je Oliveau, dodajući da se takve eksploatacije mogu kombinovati s “funkcionalnošću vraćanja MSI-ja unatrag za uvođenje proizvoljnih datoteka u sistem.”
“Naizgled bezopasan proces evidentiranja i brisanja događaja unutar nesigurne mape može omogućiti napadaču da kreira pseudo-simbolne veze, obmanjujući privilegovane procese da izvršavaju radnje na neželjenim datotekama.”
Izvor: The Hacker News