Fortra’nın Robot Schedule Enterprise Agent’ı, düşük ayrıcalıklı bir kullanıcının ayrıcalıkları yerel sistem düzeyine yükseltmesine izin verir.
Sorun, aracının hizmet yürütülebilir dosyasını yeterince güvence altına alamamasından kaynaklanmaktadır; bir saldırgan, yürütülebilir dosyayı kötü amaçlı bir dosyayla değiştirerek bu durumdan yararlanabilir.
Sonuç olarak, kötü amaçlı kod, hizmet yeniden başlatıldığında yükseltilmiş ayrıcalıklarla çalışacak ve sisteme yetkisiz erişime izin verecektir.
Fortra’nın Windows için Robot Schedule Enterprise Agent’ın 3.04’ten önceki sürümlerinde, CVE-2024-0259 olarak bilinen ve düşük ayrıcalıklı bir kullanıcının kendi kötü amaçlı kodlarıyla yürütülebilir hizmetin üzerine yazmasına izin veren ve ayrıca gelişmiş ayrıcalıklara izin veren bir güvenlik açığı vardır.
Saldırganın sistem üzerinde kayda değer bir kontrol sağlaması nedeniyle de çok önemlidir.
Hizmet yeniden başlatıldığında, üzerine yazılan yürütülebilir dosya yerel sistem ayrıcalıklarıyla yürütülür ve saldırgana sistemde yükseltilmiş ayrıcalıklar verir.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.
Ayrıcalık Yükseltme Güvenlik Açığı
Düşük ayrıcalıklara sahip bir saldırgan, sistem üzerinde tam kontrol elde etmek için bu güvenlik açığından yararlanabilir.
Aracının çalıştırılabilir hizmeti, güvenlik açığının kaynağı olan üzerine yazmaya karşı savunmasızdır.
Saldırgan, hizmet yeniden başlatıldığında, orijinalinin yerine kötü amaçlı bir yürütülebilir dosya koyarak, saldırganın tüm sistem kaynaklarına tam erişim sağlamasını sağlayarak, sistemi kendi kodunu en yüksek ayrıcalık düzeyiyle (yerel sistem) yürütmesi için kandırabilir.
3.04’ten önceki Windows sürümlerinde, Fortra’nın Robot Schedule Enterprise Agent’ı ayrıcalık yükseltmeye karşı hassastır. Bu güvenlik açığı, düşük ayrıcalıklara sahip bir kullanıcının, hizmetin yürütülebilir dosyasını kötü amaçlı kodla değiştirmesine olanak tanır.
Hizmet yeniden başlatıldığında, üzerine yazılan program yerel sistem ayrıcalıklarıyla çalışır ve saldırganın ele geçirilen sisteme yükseltilmiş erişimini sağlar.
CWE-276: Yanlış Varsayılan İzinler kapsamına giren bu güvenlik açığı, yürütülebilir dosyalar için uygun erişim kontrolleri oluşturmanın önemini vurguluyor.
Fortra’nın 3.04’ten önceki Windows sürümleri için Robot Schedule Enterprise Agent’ın, 7 Aralık 2023’te kritik bir ayrıcalık yükseltme güvenlik açığına (CVE-2024-0259) sahip olduğu tespit edildi.
Güvenlik açığının istismar edilebilirliği ve potansiyel etkisi oldukça yüksek olup CVSSv3.1 puanı 7,3’tür.
Düşük ayrıcalıklara sahip bir saldırgan, meşru bir yürütülebilir hizmetin üzerine yazmak ve ardından sistem ayrıcalıklarıyla rastgele kod çalıştırmak için bunu kullanabilir.
Fortra, 20 Mart 2024’te bu güvenlik açığını gideren 3.04 sürümünü yayınladı.
Riski azaltmak için sistem yöneticilerinin tüm güvenlik açığı bulunan aracıları mümkün olan en kısa sürede 3.04 veya daha yüksek bir sürüme güncellemesi gerekir.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın