Zscaler Client Connector’da üç farklı güvenlik açığını birleştiren yeni bir ayrıcalık yükseltme güvenlik açığı keşfedildi.
Üç güvenlik açığı, Parola kontrolünü geri döndürme (CVE-2023-41972), rastgele kod yürütme (CVE-2023-41973) ve İsteğe Bağlı Dosya Silme (CVE-2023-41969) ile ilişkilendirildi.
Bu güvenlik açıkları düşük düzeyli ve atlanmış olsa da, bunların birleştirilmesi tehdit aktörünü standart kullanıcı ayrıcalığından Windows’ta yüksek ayrıcalıklı bir NT AUTHORITY\SYSTEM hizmet hesabına yükseltir.
Ancak bu güvenlik açıkları Zscaler Client Connector tarafından en son sürümlerinde düzeltildi.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre Zscaler Client Connector, Zscaler’in çeşitli ağ tünellerini bağlayabilen yerel bir Masaüstü istemcisidir.
Bu Zscaler Client Connector iki ana işlemden oluşur: ZSATray ve ZSATrayManager.
ZSATrayManager, NT AUTHORITY\SYSTEM ile bir hizmet olarak çalışır ve ağ yönetimini, yapılandırma uygulamasını ve güncellemeleri yönetir.
ZSATray, .NET Framework üzerine kurulu bir ön uç uygulamadır. O ve ZSATrayManager, sendZSATrayManagerCommand yöntemini içeren ZSATrayHelper.dll ile Microsoft Uzaktan Yordam Çağrısını (RPC) kullanır.
Ancak Zscaler, bu RPC çağrılarının güvenilir süreçlerden yapıldığından emin olmak için RPC çağrı doğrulamalarını uygular.
Bu kontrol iki şekilde gerçekleştirilir: İşlem Kimliği doğrulaması ve Arayan İşlemi Doğrulaması.
Aslında Zscaler, ZSATrayManager önbelleğinde herhangi bir PID karması mevcutsa bu iki doğrulamanın atlanabileceği şekilde uygulanır.
Buna alternatif olarak İşlem Enjeksiyonu, isteğe bağlı kod çalıştırmak için kullanıcıya ait ZSATray.exe işleminin enjekte edilmesiyle de kullanılabilir.
Bu işlem tüm güvenlik kontrollerinden geçecektir ancak ZSATray yönetilen koda sahip bir .NET derlemesi olduğundan yürütülmesi karmaşıktır.
CVE-2023-41972: Parola Denetimini Geri Döndürme Yanlış Tür Doğrulaması
RPC çağrı denetimi yukarıdaki adımlardan atlandığından sonraki adım, ayrıcalık yükseltmeyi gerçekleştirmek için kullanılabilecek desteklenen RPC işlevlerini bulmaktır.
Zscaler, PERFORM_APP_REVERT gibi bazı işlevler için ek kimlik doğrulama uyguladı.
Bu işlev, ZScaler Client Connector’ı eski bir yükleyici kullanarak önceki bir sürüme döndürür.
Ayrıca, işlev aynı zamanda öncekiYükleyiciAdı, pwdType ve parolayı da bağımsız değişken olarak kabul eder. Ancak işlev yalnızca doğru parola girildiğinde yürütülür.
Daha ileri analizler, ZSATrayManager’ın pwdType’ın eşleşip eşleşmediğini kontrol etmediğini ortaya çıkardı PASSWORD_TYPE.ZCC_REVERT_PWD parola denetimi işlevinin RPC aracılığıyla iletilen tüm pwdType’lara güveneceği anlamına gelir.
Bu nedenle, RPC’deki pwdType’ın SHOW_ADVANCED_SETTINGS olarak ayarlanmasıyla bu işlev atlanabilir.
CVE-2023-41973: Zscaler İstemci Bağlayıcısında Giriş Temizleme Eksikliği
PERFORM_APP_REVERT işlevinin derinliklerine inildiğinde, işlevin, genellikle {VERSION NUMBER}.exe olarak ayarlanan C:\Program Files\ZScaler\RevertZcc dosyasına eklenen öncekiYükleyiciAdı’nı bir bağımsız değişken olarak kabul ettiği keşfedildi.
Dosyanın yürütülmesi ZSATrayManager tarafından NT AUTHORITY\SYSTEM olarak bu yolda gerçekleştirilir. Bir tehdit aktörü, bundan yararlanmak için yükü yürütmek üzere ..\..\..\{ATTACKER-CONTROLLED PATH} gibi bir yol geçiş dizesi sağlayabilir.
Ayrıca ZSAService ile DLL Ele Geçirme de gerçekleştirilir ve bu da rastgele kod yürütülmesine neden olur. Bu sonuçta NT AUTHORITYSYSTEM ayrıcalığının kazanılmasıyla sonuçlanır.
Bu güvenlik açıklarını gidermek için Zscaler Client Connector kullanıcılarının sürümlerini 4.2.0.209 / 4.3.0.121 veya üstüne yükseltmeleri önerilir.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers