Les chercheurs ont révélé des détails sur une vulnérabilité de sécurité dans l’application Netwrix Auditor qui, si elle est exploitée avec succès, pourrait conduire à l’exécution de code arbitraire sur les appareils concernés.
« Étant donné que ce service est généralement exécuté avec des privilèges étendus dans un environnement Active Directory, l’attaquant serait probablement en mesure de compromettre le domaine Active Directory », a déclaré Bishop Fox. a dit dans un avis publié cette semaine.
Auditeur est une plate-forme d’audit et de visibilité qui permet aux organisations d’avoir une vue consolidée de leurs environnements informatiques, y compris Active Directory, Exchange, les serveurs de fichiers, SharePoint, VMware et d’autres systèmes, le tout à partir d’une console unique.
Netwrix, la société à l’origine du logiciel, revendique plus de 11 500 clients dans plus de 100 pays, tels qu’Airbus, Virgin, King’s College Hospital et Credissimo, entre autres.
La faille, qui affecte toutes les versions prises en charge avant la 10.5, a été décrite comme une désérialisation d’objet non sécuriséqui se produit lorsque des données contrôlables par l’utilisateur non fiables sont analysées pour infliger des attaques d’exécution de code à distance.
La cause principale du bogue est un service de communication à distance .NET non sécurisé accessible sur le port TCP 9004 sur le serveur Netwrix, permettant à un acteur d’exécuter des commandes arbitraires sur le serveur.
« Étant donné que la commande a été exécutée avec les privilèges NT AUTHORITYSYSTEM, l’exploitation de ce problème permettrait à un attaquant de compromettre complètement le serveur Netwrix », a déclaré Jordan Parkin de Bishop Fox.
Il est recommandé aux organisations qui s’appuient sur Auditor de mettre à jour le logiciel vers la dernière version, 10.5, publiée le 6 juin, pour contrecarrer tout risque potentiel.