Les vulnérabilités zero-day dans les programmes d’installation Windows pour le logiciel de surveillance et de gestion à distance Atera pourraient servir de tremplin pour lancer des attaques d’escalade de privilèges.
Les failles, découvertes par Mandiant le 28 février 2023, se sont vu attribuer les identifiants CVE-2023-26077 et CVE-2023-26078avec les problèmes résolus dans les versions 1.8.3.7 et 1.8.4.9 publiées par Atera le 17 avril 2023 et le 26 juin 2023, respectivement.
« La possibilité de lancer une opération à partir d’un contexte NT AUTHORITYSYSTEM peut présenter des risques de sécurité potentiels si elle n’est pas correctement gérée », a déclaré Andrew Oliveau, chercheur en sécurité. a dit. « Par exemple, mal configuré Actions personnalisées s’exécutant en tant que NT AUTHORITYSYSTEM peut être exploité par des attaquants pour exécuter des attaques locales d’élévation de privilèges. »
L’exploitation réussie de ces faiblesses pourrait ouvrir la voie à l’exécution de code arbitraire avec des privilèges élevés.
Les deux failles résident dans la fonctionnalité de réparation du programme d’installation MSI, créant potentiellement un scénario dans lequel les opérations sont déclenchées à partir d’un contexte NT AUTHORITYSYSTEM même si elles sont initiées par un utilisateur standard.
Selon la société de renseignement sur les menaces appartenant à Google, Atera Agent est susceptible d’une attaque locale d’escalade de privilèges qui peut être exploitée via Piratage de DLL (CVE-2023-26077), qui pourrait ensuite être abusé pour obtenir une invite de commande en tant qu’utilisateur NT AUTHORITYSYSTEM.
CVE-2023-26078, d’autre part, concerne « l’exécution de commandes système qui déclenchent l’hôte de la console Windows (conhost.exe) en tant que processus enfant », ouvrant ainsi une « fenêtre de commande qui, si elle est exécutée avec des privilèges élevés, peut être exploitée par un attaquant pour effectuer une attaque locale d’escalade de privilèges ».
« Les actions personnalisées mal configurées peuvent être faciles à identifier et à exploiter, ce qui pose des risques de sécurité importants pour les organisations », a déclaré Oliveau. « Il est essentiel que les développeurs de logiciels examinent en profondeur leurs actions personnalisées pour empêcher les attaquants de détourner les opérations NT AUTHORITYSYSTEM déclenchées par les réparations MSI. »
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
La divulgation intervient alors que Kaspersky hangar plus de lumière sur une grave faille d’escalade de privilèges désormais corrigée dans Windows (CVE-2023-23397, score CVSS : 9,8) qui a été activement exploitée dans la nature par des acteurs malveillants utilisant une tâche, un message ou un événement de calendrier Outlook spécialement conçu.
Alors que Microsoft a révélé précédemment que des groupes d’États-nations russes avaient armé le bogue depuis avril 2022, les preuves recueillies par le fournisseur d’antivirus ont révélé que des tentatives d’exploitation dans le monde réel ont été menées par un attaquant inconnu ciblant des entités gouvernementales et d’infrastructures critiques en Jordanie, en Pologne, en Roumanie, en Turquie et en Ukraine un mois avant la divulgation publique.