Carding
Professional
- Messages
- 2,870
- Reaction score
- 2,493
- Points
- 113
В Take Control Agent от N-Able обнаружена серьезная ошибка безопасности, которая может быть использована локальным непривилегированным злоумышленником для получения системных привилегий.
Отслеживаемая как CVE-2023-27470 (оценка CVSS: 8,8), проблема связана с уязвимостью, связанной со временем проверки времени использования (TOCTOU), которая при успешном использовании может быть использована для удаления произвольных файлов в системе Windows.
Недостаток безопасности, влияющий на версии 7.0.41.1141 и более ранние, был устранен в версии 7.0.43, выпущенной 15 марта 2023 года, после ответственного раскрытия информации компанией Mandiant 27 февраля 2023 года.
Время проверки на время использования подпадает под категорию программных недостатков, при которых программа проверяет состояние ресурса на определенное значение, но это значение изменяется до его фактического использования, что фактически делает недействительными результаты проверки.
Использование такого недостатка может привести к потере целостности и заставить программу выполнять действия, которые она не должна выполнять в противном случае, тем самым позволяя субъекту угрозы получить доступ к неавторизованным ресурсам.
"Эта уязвимость может иметь отношение к безопасности, когда злоумышленник может повлиять на состояние ресурса между проверкой и использованием", согласно описанию в системе общего перечисления слабых мест (CWE). "Это может произойти с общими ресурсами, такими как файлы, память или даже переменные в многопоточных программах".
По данным принадлежащей Google компании по анализу угроз, CVE-2023-27470 возникает из-за состояния TOCTOU race в Take Control Agent (BASupSrvcUpdater.exe) между протоколированием нескольких событий удаления файлов (например, файлов с именами aaa.txt и bbb.txt ) и каждое действие по удалению из определенной папки с именем "C:\ProgramData\GetSupportService_N-Central\PushUpdates."
"Проще говоря, в то время как BASupSrvcUpdater.exe зарегистрировал удаление aaa.txt, злоумышленник мог быстро заменить bbb.txt файл с символической ссылкой перенаправляет процесс на произвольный файл в системе ", - сказал исследователь безопасности Mandiant Эндрю Оливо.
"Это действие приведет к непреднамеренному удалению файлов процессом от имени NT AUTHORITY\SYSTEM".
Что еще более неприятно, это произвольное удаление файла может быть использовано для защиты командной строки с повышенными правами, используя преимущества атаки в условиях гонки, нацеленной на функциональность отката установщика Windows, что потенциально приводит к выполнению кода.
"Эксплойты для произвольного удаления файлов больше не ограничиваются [атаками типа "отказ в обслуживании" и действительно могут служить средством для достижения более быстрого выполнения кода", - сказал Оливо, добавив, что такие эксплойты могут сочетаться с "функцией отката MSI для введения произвольных файлов в систему".
"Кажущийся безобидным процесс протоколирования и удаления событий в небезопасной папке может позволить злоумышленнику создавать псевдо-символические ссылки, обманным путем заставляя привилегированные процессы выполнять действия с непреднамеренными файлами".
Отслеживаемая как CVE-2023-27470 (оценка CVSS: 8,8), проблема связана с уязвимостью, связанной со временем проверки времени использования (TOCTOU), которая при успешном использовании может быть использована для удаления произвольных файлов в системе Windows.
Недостаток безопасности, влияющий на версии 7.0.41.1141 и более ранние, был устранен в версии 7.0.43, выпущенной 15 марта 2023 года, после ответственного раскрытия информации компанией Mandiant 27 февраля 2023 года.
Время проверки на время использования подпадает под категорию программных недостатков, при которых программа проверяет состояние ресурса на определенное значение, но это значение изменяется до его фактического использования, что фактически делает недействительными результаты проверки.
Использование такого недостатка может привести к потере целостности и заставить программу выполнять действия, которые она не должна выполнять в противном случае, тем самым позволяя субъекту угрозы получить доступ к неавторизованным ресурсам.
"Эта уязвимость может иметь отношение к безопасности, когда злоумышленник может повлиять на состояние ресурса между проверкой и использованием", согласно описанию в системе общего перечисления слабых мест (CWE). "Это может произойти с общими ресурсами, такими как файлы, память или даже переменные в многопоточных программах".
По данным принадлежащей Google компании по анализу угроз, CVE-2023-27470 возникает из-за состояния TOCTOU race в Take Control Agent (BASupSrvcUpdater.exe) между протоколированием нескольких событий удаления файлов (например, файлов с именами aaa.txt и bbb.txt ) и каждое действие по удалению из определенной папки с именем "C:\ProgramData\GetSupportService_N-Central\PushUpdates."
"Проще говоря, в то время как BASupSrvcUpdater.exe зарегистрировал удаление aaa.txt, злоумышленник мог быстро заменить bbb.txt файл с символической ссылкой перенаправляет процесс на произвольный файл в системе ", - сказал исследователь безопасности Mandiant Эндрю Оливо.
"Это действие приведет к непреднамеренному удалению файлов процессом от имени NT AUTHORITY\SYSTEM".
Что еще более неприятно, это произвольное удаление файла может быть использовано для защиты командной строки с повышенными правами, используя преимущества атаки в условиях гонки, нацеленной на функциональность отката установщика Windows, что потенциально приводит к выполнению кода.
"Эксплойты для произвольного удаления файлов больше не ограничиваются [атаками типа "отказ в обслуживании" и действительно могут служить средством для достижения более быстрого выполнения кода", - сказал Оливо, добавив, что такие эксплойты могут сочетаться с "функцией отката MSI для введения произвольных файлов в систему".
"Кажущийся безобидным процесс протоколирования и удаления событий в небезопасной папке может позволить злоумышленнику создавать псевдо-символические ссылки, обманным путем заставляя привилегированные процессы выполнять действия с непреднамеренными файлами".
