Se ha revelado una falla de seguridad de alta gravedad en Take Control Agent de N-Able que podría ser explotada por un atacante local sin privilegios para obtener privilegios del SISTEMA.
Seguimiento como CVE-2023-27470 (Puntuación CVSS: 8,8), el asunto se relaciona con una Hora de verificación a una Hora de uso (TOCTOU) vulnerabilidad de condición de carrera que, cuando se explota con éxito, podría aprovecharse para eliminar archivos arbitrarios en un sistema Windows.
La deficiencia de seguridad, que afecta a las versiones 7.0.41.1141 y anteriores, se solucionó en la versión 7.0.43 lanzada el 15 de marzo de 2023, luego de la divulgación responsable por parte de Mandiant el 27 de febrero de 2023.
El tiempo de verificación al tiempo de uso se incluye en una categoría de fallas de software en las que un programa verifica el estado de un recurso para un valor específico, pero ese valor cambia antes de que se use realmente, invalidando efectivamente los resultados de la verificación.
La explotación de una falla de este tipo puede resultar en una pérdida de integridad y engañar al programa para que realice acciones que de otra manera no debería, permitiendo que un actor de amenazas obtenga acceso a recursos que de otro modo no estarían autorizados.
“Esta debilidad puede ser relevante para la seguridad cuando un atacante puede influir en el estado del recurso entre la verificación y el uso”, según un descripción del sistema de enumeración común de debilidades (CWE). “Esto puede suceder con recursos compartidos como archivos, memoria o incluso variables en programas multiproceso”.
Según la firma de inteligencia de amenazas propiedad de Google, CVE-2023-27470 surge de una condición de carrera TOCTOU en Take Control Agent (BASupSrvcUpdater.exe) entre el registro de múltiples eventos de eliminación de archivos (por ejemplo, archivos llamados aaa.txt y bbb.txt). y cada acción de eliminación de una carpeta específica llamada “C:ProgramDataGetSupportService_N-CentralPushUpdates”.
“En pocas palabras, mientras BASupSrvcUpdater.exe registraba la eliminación de aaa.txt, un atacante podría reemplazar rápidamente el archivo bbb.txt con un enlace simbólico, redirigiendo el proceso a un archivo arbitrario en el sistema”, dijo el investigador de seguridad de Mandiant, Andrew Oliveau. dicho.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
“Esta acción provocaría que el proceso elimine involuntariamente archivos como NT AUTHORITYSYSTEM”.
Aún más preocupante es que esta eliminación arbitraria de archivos podría usarse como arma para asegurar un símbolo del sistema elevado aprovechando una ataque de condición de carrera dirigido a la funcionalidad de reversión del instalador de Windows, lo que podría provocar la ejecución de código.
“Los exploits de eliminación arbitraria de archivos ya no se limitan a [denial-of-service attacks and can indeed serve as a means to achieve elevated code execution,” Oliveau said, adding such exploits can be combined with “MSI’s rollback functionality to introduce arbitrary files into the system.”
“A seemingly innocuous process of logging and deleting events within an insecure folder can enable an attacker to create pseudo-symlinks, deceiving privileged processes into running actions on unintended files.”
About the Author
