CVE-2024-12754 olarak tanımlanan popüler bir uzak masaüstü yazılımı olan AnyDesk’te yakın zamanda açıklanan bir güvenlik açığı, yerel saldırganların hassas sistem dosyalarına yetkisiz erişim elde etmek için Windows arka plan görüntülerinin kullanımından yararlanmasını sağlar.
Bu, potansiyel olarak ayrıcalıklarını idari seviyelere çıkarabilir ve sistem güvenliği için önemli bir tehdit oluşturabilir.
Güvenlik açığı, CWE-59 (dosya erişiminden önce uygunsuz bağlantı çözünürlüğü) altında kategorize edilmiştir ve gizlilik ihlallerine neden olma potansiyelini gösteren 5.5 (orta) CVSS puanı atanmıştır.
Saldırganların bu güvenlik açığından nasıl yararlanabileceğini gösteren bir kavram kanıtı sömürü açıklanmıştır.
Anydesk Yerel ayrıcalık yükseltme kırılganlığı
Siber güvenlik araştırmacısı Naor Hodorov’a göre, kusur herhangi bir ANYDESK’ın oturum başlatma sırasında masaüstü arka plan görüntülerini nasıl işlediğinde yatmaktadır.
Bir oturum başladığında, Anydesk geçerli masaüstü duvar kağıdını C: \ Windows \ temp dizinine kopyalar.
Bu işlem, ayrıcalıklara sahip NT Authority \ System hesabı altında çalışan AnyDesk hizmeti tarafından yürütülür.
Düşük ayrıcalıklara sahip saldırganlar, C: \ Windows \ Temp dizinindeki veya sembolik bağlantıları (kavşaklar) kullanan dosyaları ön oluşturarak bu işlemi manipüle edebilir. Saldırı böyle çalışıyor:
AnyDesk masaüstü duvar kağıdını kopyaladığında, sistem hesabının sahipliğini ve izinlerini korur. Bu, kopyalanan dosyayı varsayılan olarak düşük ayrıcalıklı kullanıcılara erişilemez hale getirir.
Saldırganlar, AnyDesk’in dosya kopya işlemini \ Cihaz \ HardDiskVolumeshAdowCopy1 \ Windows \ System32 \ Config gibi hassas dizinlere yönlendiren bir kavşak (bir tür sembolik bağlantı türü) oluşturur.
Bu, saldırganların SAM (Güvenlik Hesap Yöneticisi), Sistem ve Güvenlik gibi kritik dosyalara erişmesini sağlar.
Bu dosyaları elde ederek, saldırganlar Mimikatz gibi araçları kullanarak karma kimlik bilgilerini veya makine tuşlarını çıkarabilir. Bu, ayrıcalıkları artırmalarını ve potansiyel olarak idari erişim kazanmalarını sağlar.
Konsept Kanıtı (POC) istismar
Saldırganların bu güvenlik açığından nasıl yararlanabileceğini gösteren bir POC istismarı yayınlandı.
İstismar, Windows Object Manager Namespace (OMNS) dizinlerinde \ RPC Control gibi Reparse noktalarını kullanarak dosya işlemlerini manipüle etmeyi içerir.
Bu, bir oplock (fırsatçı kilit) tetiklendikten sonra hassas dosyaların erişildiği ve geri yüklendiği başarılı bir sömürü gösterir.
Tavsiye
Bu güvenlik açığını gidermek için Anydesk, 9.0.1 ve sonraki sürümlerde bir yama yayınladı. Kullanıcıların yazılımlarını derhal güncellemeleri şiddetle tavsiye edilir.
CVE-2024-12754’ün keşfi, masaüstü arka plan görüntüleri gibi görünüşte zararsız özelliklerden yararlanan yerel ayrıcalık yükseltme tekniklerinin gelişen sofistike olmasını vurgulamaktadır.
Anydesk, yamalar vererek hızla hareket ederken, bu olay proaktif güvenlik önlemlerinin ve ortaya çıkan tehditlere karşı uyanıklığın öneminin altını çiziyor.
Kuruluşlar, gelecekte benzer güvenlik açıklarını azaltmak için uyanık kalmalı ve sağlam güvenlik uygulamaları benimsemelidir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free