Las vulnerabilidades de día cero en los instaladores de Windows para el software de administración y monitoreo remoto Atera podrían actuar como un trampolín para lanzar ataques de escalada de privilegios.
A las fallas, descubiertas por Mandiant el 28 de febrero de 2023, se les han asignado los identificadores CVE-2023-26077 y CVE-2023-26078con los problemas solucionados en las versiones 1.8.3.7 y 1.8.4.9 lanzadas por Atera el 17 de abril de 2023 y el 26 de junio de 2023, respectivamente.
«La capacidad de iniciar una operación desde un contexto NT AUTHORITYSYSTEM puede presentar posibles riesgos de seguridad si no se gestiona adecuadamente», dijo el investigador de seguridad Andrew Oliveau. dicho. «Por ejemplo, mal configurado Acciones personalizadas ejecutarse como NT AUTHORITYSYSTEM puede ser explotado por atacantes para ejecutar ataques de escalada de privilegios locales».
La explotación exitosa de tales debilidades podría allanar el camino para la ejecución de código arbitrario con privilegios elevados.
Ambos defectos residen en la funcionalidad de reparación del instalador MSI, lo que podría crear un escenario en el que las operaciones se activan desde un contexto NT AUTHORITYSYSTEM incluso si las inicia un usuario estándar.
Según la firma de inteligencia de amenazas propiedad de Google, Atera Agent es susceptible a un ataque de escalada de privilegios local que puede explotarse a través de secuestro de DLL (CVE-2023-26077), que luego podría abusarse para obtener un símbolo del sistema como usuario NT AUTHORITYSYSTEM.
CVE-2023-26078, por otro lado, se refiere a la «ejecución de comandos del sistema que activan Windows Console Host (conhost.exe) como un proceso secundario», como resultado, se abre una «ventana de comandos que, si se ejecuta con privilegios elevados, puede ser explotada por un atacante para realizar un ataque de escalada de privilegios local».
«Las acciones personalizadas mal configuradas pueden ser triviales de identificar y explotar, lo que plantea importantes riesgos de seguridad para las organizaciones», dijo Oliveau. «Es esencial que los desarrolladores de software revisen minuciosamente sus acciones personalizadas para evitar que los atacantes secuestren las operaciones de NT AUTHORITYSYSTEM desencadenadas por las reparaciones de MSI».
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
La revelación llega como Kaspersky cobertizo más luz sobre una grave falla de escalada de privilegios ahora corregida en Windows (CVE-2023-23397, puntaje CVSS: 9.8) que ha sido objeto de explotación activa en la naturaleza por parte de los actores de amenazas que utilizan una tarea, mensaje o evento de calendario de Outlook especialmente diseñado.
Si bien Microsoft reveló anteriormente que los grupos de estados-naciones rusos armaron el error desde abril de 2022, la evidencia recopilada por el proveedor de antivirus ha reveló que un atacante desconocido llevó a cabo intentos de explotación en el mundo real dirigidos a entidades gubernamentales y de infraestructura crítica en Jordania, Polonia, Rumania, Turquía y Ucrania un mes antes de la divulgación pública.