N-Able’ın Take Control Agent’ında, ayrıcalıklı yerel bir saldırganın SİSTEM ayrıcalıkları kazanmak için kullanılabilecek yüksek önemdeki bir güvenlik açığı ortaya çıktı.
Şu şekilde izlendi: CVE-2023-27470 (CVSS puanı: 8,8), sorun, Kontrol Zamanı-Kullanım Zamanı (TOCTOU) yarış durumu güvenlik açığıyla ilgilidir; bu güvenlik açığından başarıyla yararlanıldığında Windows sistemindeki rastgele dosyaları silmek için kullanılabilir.
7.0.41.1141 ve önceki sürümleri etkileyen güvenlik açığı, Mandiant’ın 27 Şubat 2023’te yaptığı sorumlu açıklamanın ardından 15 Mart 2023’te yayınlanan 7.0.43 sürümünde giderildi.
Kontrol Zamanından Kullanım Zamanına kadar olan süre, bir programın belirli bir değer için bir kaynağın durumunu kontrol ettiği, ancak bu değerin fiili olarak kullanılmadan önce değiştiği ve kontrolün sonuçlarını etkili bir şekilde geçersiz kıldığı bir yazılım kusurları kategorisine girer.
Bu tür bir kusurdan yararlanılması, bütünlük kaybına neden olabilir ve programı, aksi takdirde yapmaması gereken eylemleri gerçekleştirmesi için kandırabilir ve bir tehdit aktörünün normalde izin verilmeyen kaynaklara erişmesine izin verebilir.
Ortak Zayıflık Sayımı (CWE) sisteminin açıklamasına göre “Bu zayıflık, bir saldırganın kontrol ve kullanım arasında kaynağın durumunu etkilemesi durumunda güvenlikle ilgili olabilir.” “Bu, dosyalar, bellek ve hatta çok iş parçacıklı programlardaki değişkenler gibi paylaşılan kaynaklarda meydana gelebilir.”
Google’ın sahip olduğu tehdit istihbarat firmasına göre CVE-2023-27470, Take Control Agent’taki (BASupSrvcUpdater.exe) birden fazla dosya silme olayının (örneğin, aaa.txt ve bbb.txt adlı dosyalar) günlüğe kaydedilmesi arasındaki TOCTOU yarış koşulundan kaynaklanıyor. ve her silme eylemi “C:\ProgramData\GetSupportService_N-Central\PushUpdates” adlı belirli bir klasörden yapılır.
Mandiant güvenlik araştırmacısı Andrew Oliveau, “Basitçe açıklamak gerekirse, BASupSrvcUpdater.exe aaa.txt dosyasının silinmesini kaydederken, bir saldırgan bbb.txt dosyasını hızlı bir şekilde sembolik bir bağlantıyla değiştirerek süreci sistemdeki rastgele bir dosyaya yönlendirebilir.” söz konusu.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Becerilerinizi Güçlendirin
“Bu eylem, işlemin NT AUTHORITY\SYSTEM konumundaki dosyaları yanlışlıkla silmesine neden olur.”
Daha da kötüsü, bu keyfi dosya silme işlemi, Windows yükleyicisinin geri alma işlevini hedef alan ve potansiyel olarak kod yürütülmesine yol açan bir yarış durumu saldırısından yararlanarak yükseltilmiş bir Komut İstemi’ni güvence altına almak için silah haline getirilebilir.
Oliveau, “Keyfi dosya silme istismarları artık hizmet reddi saldırılarıyla sınırlı değil ve gerçekten de yükseltilmiş kod yürütme elde etmek için bir araç olarak hizmet edebilir” dedi ve bu tür istismarların “MSI’nın rastgele dosyaları sisteme dahil etmek için geri alma işleviyle birleştirilebileceğini” ekledi. sistem.” [denial-of-serviceattacksandcanindeedserveasameanstoachieveelevatedcodeexecution”Oliveausaidaddingsuchexploitscanbecombinedwith”MSI’srollbackfunctionalitytointroducearbitraryfilesintothesystem”
“Güvenli olmayan bir klasördeki olayların günlüğe kaydedilmesi ve silinmesi gibi görünüşte zararsız bir süreç, bir saldırganın sözde sembolik bağlantılar oluşturmasına, ayrıcalıklı süreçleri aldatarak istenmeyen dosyalar üzerinde eylemler çalıştırmasına olanak sağlayabilir.”