Investigadores de ciberseguridad han revelado nuevos fallos de seguridad que afectan a Citrix Virtual Apps and Desktop y que podrían explotarse para lograr la ejecución remota de código (RCE) no autenticado
El problema, según los hallazgos de torre de vigilanciatiene sus raíces en la Grabación de sesiones componente que permite a los administradores del sistema capturar la actividad del usuario y registrar las entradas del teclado y el mouse, junto con una transmisión de video del escritorio para fines de auditoría, cumplimiento y resolución de problemas.
En particular, la vulnerabilidad explota la “combinación de una exposición descuidada MSMQ “Se puede acceder a una instancia con permisos mal configurados que aprovecha BinaryFormatter desde cualquier host a través de HTTP para realizar RCE no autenticado”, dijo la investigadora de seguridad Sina Kheirkhah.
El detalles de vulnerabilidad se enumeran a continuación –
- CVE-2024-8068 (Puntuación CVSS: 5,1): escalada de privilegios para acceder a la cuenta NetworkService
- CVE-2024-8069 (Puntuación CVSS: 5.1) – Ejecución remota limitada de código con el privilegio de acceso a una cuenta NetworkService
Sin embargo, Citrix señaló que una explotación exitosa requiere que un atacante sea un usuario autenticado en el mismo dominio de Windows Active Directory que el dominio del servidor de grabación de sesiones y en la misma intranet que el servidor de grabación de sesiones. Los defectos se han solucionado en las siguientes versiones:
- Citrix Virtual Apps and Desktops antes de la revisión 2407 24.5.200.8
- Citrix Virtual Apps and Desktops 1912 LTSR antes de la revisión CU9 19.12.9100.6
- Citrix Virtual Apps and Desktops 2203 LTSR antes de la revisión CU5 22.03.5100.11
- Citrix Virtual Apps and Desktops 2402 LTSR antes de la revisión CU1 24.02.1200.16
Vale la pena señalar que Microsoft tiene instado los desarrolladores dejen de usar BinaryFormatter para la deserialización, debido al hecho de que el método no es seguro cuando se usa con entradas que no son de confianza. Se ha implementado una implementación de BinaryFormatter. remoto de .NET 9 a partir de agosto de 2024.
“BinaryFormatter se implementó antes de que las vulnerabilidades de deserialización fueran una categoría de amenaza bien entendida”, el gigante tecnológico notas en su documentación. “Como resultado, el código no sigue las mejores prácticas modernas. BinaryFormatter.Deserialize puede ser vulnerable a otras categorías de ataques, como la divulgación de información o la ejecución remota de código”.
En el centro del problema está el Administrador de almacenamiento de grabaciones de sesiones, un servicio de Windows que administra los archivos de sesiones grabadas recibidos de cada computadora que tiene la función habilitada.
Si bien Storage Manager recibe las grabaciones de la sesión como bytes de mensajes a través del servicio Microsoft Message Queuing (MSMQ), el análisis encontró que se emplea un proceso de serialización para transferir los datos y que la instancia de la cola tiene privilegios excesivos.
Para empeorar las cosas, los datos recibidos de la cola se deserializan mediante BinaryFormatter, lo que permite a un atacante abusar de los permisos inseguros establecidos durante el proceso de inicialización para pasar mensajes especialmente diseñados. Mensajes MSMQ enviados a través de HTTP a través de Internet.
“Sabemos que hay una instancia de MSMQ con permisos mal configurados y sabemos que utiliza la infame clase BinaryFormatter para realizar la deserialización”, dijo Kheirkhah, detallando los pasos para crear un exploit. “La ‘guinda del pastel’ es que se puede acceder no sólo localmente, a través del puerto TCP de MSMQ, sino también desde cualquier otro host, a través de HTTP”.
“Esta combinación permite un RCE antiguo y no autenticado”, añadió el investigador.