Atera uzaktan izleme ve yönetim yazılımı için Windows Yükleyicilerdeki sıfır gün güvenlik açıkları, ayrıcalık yükseltme saldırılarını başlatmak için bir sıçrama tahtası görevi görebilir.
Mandiant tarafından 28 Şubat 2023’te keşfedilen kusurlara, CVE-2023-26077 ve CVE-2023-26078 tanımlayıcıları atandı ve sorunlar sırasıyla 17 Nisan 2023 ve 26 Haziran 2023’te Atera tarafından yayınlanan 1.8.3.7 ve 1.8.4.9 sürümlerinde düzeltildi.
Güvenlik araştırmacısı Andrew Oliveau, “NT AUTHORITY\SYSTEM bağlamından bir işlem başlatma yeteneği, uygun şekilde yönetilmezse potansiyel güvenlik riskleri oluşturabilir” dedi. “Örneğin, NT AUTHORITY\SYSTEM olarak çalışan yanlış yapılandırılmış Özel Eylemler, saldırganlar tarafından yerel ayrıcalık artırma saldırıları gerçekleştirmek için kullanılabilir.”
Bu tür zayıflıkların başarılı bir şekilde kullanılması, keyfi kodun yükseltilmiş ayrıcalıklarla yürütülmesinin önünü açabilir.
Her iki kusur da MSI yükleyicisinin onarım işlevinde bulunur ve potansiyel olarak, standart bir kullanıcı tarafından başlatılsalar bile işlemlerin bir NT AUTHORITY\SYSTEM bağlamından tetiklendiği bir senaryo oluşturur.
Google’ın sahibi olduğu tehdit istihbaratı firmasına göre, Atera Agent, DLL ele geçirme (CVE-2023-26077) yoluyla yararlanılabilen ve daha sonra NT AUTHORITY\SYSTEM kullanıcısı olarak bir Komut İstemi elde etmek için kötüye kullanılabilen yerel bir ayrıcalık yükseltme saldırısına karşı hassastır.
Öte yandan CVE-2023-26078, “bir alt işlem olarak Windows Konsol Ana Bilgisayarını (conhost.exe) tetikleyen sistem komutlarının yürütülmesi” ve sonuç olarak “yükseltilmiş ayrıcalıklarla yürütülürse, bir saldırgan tarafından yerel bir ayrıcalık yükseltme saldırısı gerçekleştirmek için kullanılabilecek bir komut penceresinin açılması” ile ilgilidir.
Oliveau, “Yanlış yapılandırılmış Özel Eylemleri belirlemek ve kullanmak önemsiz olabilir, bu nedenle kuruluşlar için önemli güvenlik riskleri oluşturur” dedi. “Saldırganların MSI onarımları tarafından tetiklenen NT AUTHORITY\SYSTEM işlemlerini ele geçirmesini önlemek için yazılım geliştiricilerin Özel Eylemlerini kapsamlı bir şekilde gözden geçirmeleri çok önemlidir.”
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Açıklama, Kaspersky’nin Windows’ta özel olarak hazırlanmış bir Outlook görevi, mesajı veya takvim etkinliği kullanan tehdit aktörleri tarafından vahşi ortamda aktif olarak sömürülen Windows’ta (CVE-2023-23397, CVSS puanı: 9.8) artık düzeltilmiş, ciddi bir ayrıcalık yükseltme kusuruna daha fazla ışık tutmasıyla geldi.
Microsoft daha önce Rus ulus-devlet gruplarının hatayı Nisan 2022’den beri silahlandırdığını açıklasa da, antivirüs satıcısı tarafından toplanan kanıtlar, kamuya ifşadan bir ay önce Ürdün, Polonya, Romanya, Türkiye ve Ukrayna’daki hükümeti ve kritik altyapı varlıklarını hedef alan bilinmeyen bir saldırgan tarafından gerçek dünyadan yararlanma girişimlerinin gerçekleştirildiğini ortaya çıkardı.