BeyondTrust’un Windows çözümü için ayrıcalık yönetiminde önemli bir güvenlik açığı keşfedildi ve yerel kimlik doğrulamalı saldırganların ayrıcalıklarını yönetici düzeyine yükseltmesine izin verdi.
CVSSV4 skoru 7.2 ile CVE-2025-2297 olarak adlandırılan kusur, 25.4.270.0’dan önce tüm sürümleri etkiler ve yüksek şiddet olarak sınıflandırılmıştır.
Güvenlik açığı, kullanıcı profili dosyalarının uygunsuz işlenmesi ve yanıt kodlarını zorlayarak, saldırganların yetkisiz idari erişim elde etmek için Windows kayıt defterini manipüle etmelerini sağlar.
Key Takeaways
1. CVE-2025-2297 enables local privilege escalation in BeyondTrust Privilege Management for Windows
2. Update the fix immediately.
3. Disable "forever" challenge responses until patched.
Windows Güvenlik Açığı için BeyondTrust Ayrıcalık Yönetimi
CWE-268 (ayrıcalık zincirleme) altında kategorize edilen güvenlik açığı, Windows süreçleri için ayrıcalık yönetimi kullanıcı profilleri içindeki yanıt kodlarına nasıl meydan okumaya ilişkin bir zayıflıktan yararlanır.
Teknik analize göre, yerel kimlik doğrulamalı saldırganlar, belirli koşullar altında yerel kullanıcı kayıt defterine gayri meşru meydan okuma yanıt kodlarını enjekte etmek için kullanıcı profili dosyalarını manipüle edebilir.
Saldırı vektörü, saldırganların kötü niyetli “sonsuza dek” yanıt girişleri ekleyebilecekleri HKEY_USERS $$ SID]\ Software \ Avecto \ Privilege Guard Client \ ChallengerEponseCache $$ SHA256SUM]kayıt defteri yolunu hedeflemeyi içerir.
Bu sömürü yöntemi özellikle ilgilidir, çünkü yalnızca yerel erişim ve temel kullanıcı ayrıcalıkları gerektirir.
CVSSV4 Vector AV: L/AC: H/AT: P/PR: L/UI: N/VC: H/VI: H/VA: N/SC: N/SI: N/SA: N, saldırı karmaşıklığı yüksek olsa da, bazı saldırı önkoşulları gerektirse de, savunmasız bileşen seviyesinde gizli ve bütünlüğün tam bir uzlaşmasına neden olabileceğini gösterir.
Güvenlik açığı, kullanıcı profili dosyalarını düzenleyebilen kullanıcıları etkiler, bu da kullanıcıların yerel dosya değiştirme izinlerine sahip olduğu kuruluşlar için önemli bir endişe kaynağıdır.
Güvenlik açığı, güvenlik araştırmacıları Lukasz Piotrowski ve Marius Kotlarz tarafından sorumlu bir şekilde açıklandı.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Windows için BeyondTrust Ayrıcalık Yönetimi (25.4.270.0’dan önceki sürümler) |
| Darbe | Ayrıcalık yüksekliği |
| Önkoşuldan istismar | – Yerel Sistem Erişim- Düşük Seviyeli Kullanıcı Kimlik Doğrulaması- Kullanıcı Profili Dosyalarını Düzenleme yeteneği- Yüksek Saldırı Karmaşıklık Koşulları |
| CVSSV4 Puan | 7.2 (Yüksek) |
Hafifletme
BeyondTrust, 25.4.270.0 sürümünde ve daha sonraki sürümlerde bu güvenlik kusurunu ele aldı.
Tüm bulut kiracıları otomatik olarak sürüm 25.4’e yükseltilirken, şirket içi müşteriler güvenlik açığını gidermek için istemci sistemlerine 25.4.270.0 sürümünü manuel olarak dağıtmalıdır.
Hemen yükseltemeyen kuruluşlar için BeyondRrust, “sonsuza kadar” meydan okuma yanıtı otomatik elevation izinlerinin geçici bir azaltma stratejisi olarak kullanılmasını önerir.
Sistem yöneticileri, mevcut herhangi bir “sonsuza dek” yanıt girişleri için etkilenen kayıt defteri konumunu aktif olarak izlemeli ve EPM (uç nokta imtiyaz yönetimi) politikalarını buna göre gözden geçirmelidir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches