Značajna sigurnosna ranjivost otkrivena je u BeyondTrustovom rješenju za upravljanje privilegijama za Windows, koje omogućava lokalnim autentifikovan napadačima da eskaliraju svoje privilegije na administratorski nivo.
Greška, označena kao CVE-2025-2297 sa CVSSv4 ocjenom 7,2, utiče na sve verzije prije verzije 25.4.270.0 i klasifikovana je kao greška visoke ozbiljnosti.
Ranjivost proizlazi iz nepravilnog rukovanja datotekama korisničkih profila i kodovima odgovora na izazov, što omogućava napadačima da manipulišu Windows registrom kako bi dobili neovlašteni administratorski pristup.
Ranjivost upravljanja privilegijama BeyondTrust za Windows
Ranjivost, kategorizovan pod CWE-268 (Privilege Chaining), iskorištava slabost u načinu na koji Privilege Management za Windows obrađuje kodove odgovora na izazov unutar korisničkih profila.
Prema tehničkoj analizi, lokalni autentifikovani napadači mogu manipulisati datotekama korisničkih profila kako bi ubacili nelegitimne kodove odgovora na izazov u lokalni registar korisnika pod određenim uvjetima.
Vektor napada uključuje ciljanje putanje registra HKEY_USERS$$sid]\Software\Avecto\Privilege Guard Client\ChallengeResponseCache$$sha256sum], gdje napadači mogu umetnuti maliciozni unose odgovora “zauvijek”.
Ova metoda iskorištavanja je posebno zabrinjavajuća jer za izvršavanje zahtijeva samo lokalni pristup i osnovne korisničke privilegije.
CVSSv4 vektor AV:L/AC:H/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N ukazuje na to da, iako je složenost napada visoka i zahtijeva neke preduvjete za napad, može rezultovati potpunim kompromitiranjem povjerljivosti i integriteta na nivou ranjive komponente.
Ranjivost utiče na korisnike koji mogu uređivati datoteke svojih korisničkih profila, što je čini značajnom brigom za organizacije u kojima korisnici imaju lokalne dozvole za izmjenu datoteka.
Ranjivost su odgovorno otkrili sigurnosni istraživači Lukasz Piotrowski i Marius Kotlarz.
| Faktori rizika | Detalji |
| Pogođeni proizvodi | BeyondTrust Upravljanje privilegijama za Windows (verzije prije 25.4.270.0) |
| Utjecaj | Povećanje privilegija |
| Preduvjeti za iskorištavanje | – Pristup lokalnom sistemu – Autentifikacija korisnika niskog nivoa – Mogućnost uređivanja datoteka korisničkog profila – Uslovi visoke složenosti napada |
| CVSSv4 rezultat | 7,2 (Visoko) |
Ublažavanja
BeyondTrust je riješio ovaj sigurnosni propust u verziji 25.4.270.0 i kasnijim izdanjima.
Svi cloud korisnici su automatski nadograđeni na verziju 25.4, dok lokalni korisnici moraju ručno implementirati verziju 25.4.270.0 na klijentske sisteme kako bi otklonili ranjivost.
Za organizacije koje nisu u mogućnosti odmah izvršiti nadogradnju, BeyondTrust preporučuje izbjegavanje korištenja “zauvijek” dozvola za automatsko podizanje nivoa sustava kao privremene strategije ublažavanja.
Sistemski administratori trebaju aktivno pratiti pogođenu lokaciju registra za sve postojeće unose odgovora “zauvijek” i shodno tome pregledati svoje EPM (Endpoint Privilege Management) politike.
Izvor: CyberSecurityNews
