Слабое звено в Take Control Agent: от удаления файлов к угрозе безопасности

Слабое звено в Take Control Agent: от удаления файлов к угрозе безопасности

8,8 баллов по шкале CVSS заставляют задуматься, установлены ли у вас последние обновления.

image

В программе Take Control Agent от компании N-Able была выявлена критическая уязвимость, которая позволяет злоумышленнику с локальными правами непривилегированного пользователя получить системные привилегии. Данная брешь в безопасности зарегистрирована под идентификатором CVE-2023-27470 и имеет оценку опасности по шкале CVSS 8.8.

Take Control Agent служит для обеспечения удалённой технической поддержки и управления компьютерными системами. Эта утилита позволяет IT-профессионалам моментально соединяться с рабочими станциями или серверами для решения возникающих проблем, обновления программного обеспечения или выполнения других задач по поддержке и администрированию.

Выявленная проблема связана с классом программных ошибок TOCTOU (Time-of-Check to Time-of-Use), который при успешной эксплуатации в Take Control Agent может использоваться для удаления произвольных файлов в системе с ОС Windows.

Уязвимость затрагивает версии Take Control Agent 7.0.41.1141 и более рание. Устранение этой уязвимости было выполнено в версии 7.0.43, выпущенной 15 марта 2023 года. В то время как ответственное раскрытие уязвимости команде разработчиков было сделано компанией Mandiant 27 февраля 2023 года.

TOCTOU является типом уязвимостей, при котором программа проверяет состояние ресурса на наличие определённого значения, но это значение меняется до момента его фактического использования. Эксплуатация такой уязвимости может привести к нарушению целостности системы и выполнению несанкционированных действий.

По данным Mandiant, уязвимость возникает из-за состояния гонки (race condition) в Take Control Agent между логированием событий удаления нескольких файлов и каждым действием удаления из определённой папки. «Процесс может случайно удалить файлы, действуя от имени системной учётной записи NT AUTHORITY\SYSTEM», — заявил Эндрю Оливо, исследователь безопасности в Mandiant.

Более того, удаление произвольных файлов может быть использовано для получения повышенных привилегий, потенциально приводя к выполнению зловредного кода. Оливо добавил, что эксплуатации для удаления файлов уже не ограничиваются атаками типа «отказ в обслуживании» и могут действительно служить средством для выполнения кода с повышенными привилегиями.

Таким образом, на первый взгляд незначительный процесс логирования и удаления событий в небезопасной папке может позволить злоумышленнику создать ложные символические ссылки и обмануть систему.

Пожалуй, стоит отметить, что хотя уязвимость и была устранена ещё в марте, пользователям данного программного обеспечения стоит убедиться, что они используют самую актуальную версию ПО.

Мы регулярно сообщаем об эксплуатации уязвимостей, которые были устранены год и более назад, но всё ещё активно используются злоумышленниками, потому что пользователи не спешат обновляться. Это весьма актуальная и распространённая проблема в наше время.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь