Foxit PDF Reader ve Düzenleyici Kusuru, Saldırganların Ayrıcalığını Arttırmasına İzin Veriyor

Foxit PDF okuyucunun, düşük ayrıcalıklı bir kullanıcının ayrıcalıklarını yükseltmesine olanak tanıyan yeni bir ayrıcalık yükseltme güvenlik açığı içerdiği keşfedildi. Bu güvenlik açığına CVE-2024-29072 atanmış ve önem derecesi 8,2 (Yüksek) olarak verilmiştir.

Bu güvenlik açığı, Windows için Foxit PDF okuyucusunun birden çok sürümünü etkilemektedir. Foxit sorunu düzeltti ve gerekli bir güvenlik tavsiyesi yayınlandı.

Cyber ​​Security News ile paylaşılan raporlara göre, bu güvenlik açığı, yürütülebilir güncelleyicinin yürütülmeden önce uygunsuz sertifika doğrulamasından kaynaklanıyor.

Bu, düşük ayrıcalıklı bir kullanıcının güncelleme eylemini tetiklemesine ve ayrıcalıklarını yükseltmesine olanak tanır.

Foxit üzerinde güncelleme işlemi tıklanarak gerçekleştirilebilir. Yardım → Foxit PDF Reader Hakkında → Güncellemeyi Denetle.

 All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo

Bu eylemin ardından FoxitPDFReader.exe yazıyor FoxitPDFReaderUpdater.exe dosyadaki %APPDATA%\Foxit Software\Continuous\Addon\Foxit PDF Reader klasör ve kullanıcı bağlamı altında çalışır.

Bunu takiben, FoxitPDFReaderUpdateService.exe aramalar CryptQueryObject üzerinde FoxitPDFReaderUpdater.exe Sertifika bilgilerini almak için dosya.

Bu, olup olmadığını doğrulamak için yapılır. FoxitPDFReaderUpdater.exe imzalanıp imzalanmadığı.

Ancak FoxitPDFReaderUpdateService.exe yalnızca sertifikanın varlığını kontrol eder ancak aldıktan sonra doğrulamaz. Ayrıca SYSTEM bağlamı altında da çalışır.

Bir tehdit aktörü, Visual Studio’dakisigntool.exe yardımcı programını kullanarak kötü amaçlı bir dosyaya imza oluşturarak bu özel davranıştan yararlanabilir.

Ayrıca, CryptQueryObject’i çağırmak için kullanıcı tarafından denetlenen, kendinden imzalı başka bir uygulama kullanılabilir ve bu da bu güvenlik açığından yararlanılmasına neden olur.

Sömürü

Bu güvenlik açığından yararlanma adımları aşağıdaki gibidir:

1. Bir ayar yapın Oplock (fırsatçı kilit) açık %APPDATA%\Foxit Software\Continuous\Addon\Foxit PDF Reader\FoxitPDFReaderUpdater.exe

2. Tıklayın Güncellemeleri kontrol ediniz. Dosyada oplock bulunması nedeniyle FoxitPDFReader.exe üzerine yazmaya çalışır FoxitPDFReaderUpdater.exebeklemeye zorlanır ve bir oplock geri çağrısı başlatılır.

3. Bu geri arama gerçekleştiğinde, bir istismar oluşturulabilir ve orijinaliyle değiştirilebilir FoxitPDFReaderUpdater.exe dosya.

4. FoxitPDFReaderUpdateService.exe Başarıyla sonuçlanan değiştirilmiş yürütülebilir dosyada CryptQueryObject’i çağırır.

5. FoxitPDFReaderUpdateService.exe aramalar Kullanıcı Olarak Süreç Oluştur ayrıcalıkların SİSTEM’e yükseltilmesiyle sonuçlanacak kötü amaçlı yürütülebilir dosyayı yürütmek için.

Etkilenen sürümler

Ürün	Etkilenen sürümler	platformu
Foxit PDF Reader (önceden Foxit Reader olarak adlandırılıyordu)	2024.2.1.25153 ve öncesi	pencereler
Foxit PDF Düzenleyici (önceden Foxit PhantomPDF olarak adlandırılıyordu)	2024.2.1.25153 ve önceki tüm 2024.x sürümleri, 2023.3.0.23028 ve önceki tüm 2023.x sürümleri, 13.1.1.22432 ve önceki tüm 13.x sürümleri, 12.1.6.15509 ve önceki tüm 12.x sürümleri, 11.2.9.53938 ve öncesi	pencereler

Bu güvenlik açığı Foxit Reader’ın 2024.2.0.25138 öncesi sürümlerini etkiliyor. Bu güvenlik açığından yararlanılmasını önlemek için Foxit kullanıcılarının uygulamalarını en son sürüme (Foxit PDF Reader 2024.2.2) yükseltmeleri önerilir.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.