N-Able’ın Take Control Agent’ında, ayrıcalıklı yerel bir saldırganın SİSTEM ayrıcalıkları kazanmak için kullanılabilecek yüksek önemdeki bir güvenlik açığı ortaya çıktı.
Şu şekilde izlendi: CVE-2023-27470 (CVSS puanı: 8,8), sorun Kontrol Zamanı ile Kullanım Zamanı arasındaki ilişkiyle ilgilidir (TOKTOU) başarıyla kullanıldığında bir Windows sistemindeki rastgele dosyaları silmek için kullanılabilen yarış durumu güvenlik açığı.
7.0.41.1141 ve önceki sürümleri etkileyen güvenlik açığı, Mandiant’ın 27 Şubat 2023’te yaptığı sorumlu açıklamanın ardından 15 Mart 2023’te yayınlanan 7.0.43 sürümünde giderildi.
Kontrol Zamanından Kullanım Zamanına kadar olan süre, bir programın belirli bir değer için bir kaynağın durumunu kontrol ettiği, ancak bu değerin fiili olarak kullanılmadan önce değiştiği ve kontrolün sonuçlarını etkili bir şekilde geçersiz kıldığı bir yazılım kusurları kategorisine girer.
Bu tür bir kusurdan yararlanılması, bütünlüğün kaybına neden olabilir ve programı, aksi takdirde yapmaması gereken eylemleri gerçekleştirmesi için kandırabilir, böylece bir tehdit aktörünün yetkisiz kaynaklara erişmesine izin verebilir.
“Bu zayıflık, bir saldırganın kontrol ve kullanım arasında kaynağın durumunu etkilemesi durumunda güvenlikle ilgili olabilir.” Tanım Ortak Zayıflık Sayımı (CWE) sisteminde. “Bu, dosyalar, bellek ve hatta çok iş parçacıklı programlardaki değişkenler gibi paylaşılan kaynaklarda meydana gelebilir.”
Google’ın sahip olduğu tehdit istihbarat firmasına göre CVE-2023-27470, Take Control Agent’taki (BASupSrvcUpdater.exe) birden fazla dosya silme olayının (örneğin, aaa.txt ve bbb.txt adlı dosyalar) günlüğe kaydedilmesi arasındaki TOCTOU yarış koşulundan kaynaklanıyor. ve her silme eylemi “C:ProgramDataGetSupportService_N-CentralPushUpdates” adlı belirli bir klasörden yapılır.
Mandiant güvenlik araştırmacısı Andrew Oliveau, “Basitçe açıklamak gerekirse, BASupSrvcUpdater.exe aaa.txt dosyasının silinmesini kaydederken, bir saldırgan bbb.txt dosyasını hızlı bir şekilde sembolik bir bağlantıyla değiştirerek süreci sistemdeki rastgele bir dosyaya yönlendirebilir.” söz konusu.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
“Bu eylem, işlemin NT AUTHORITYSYSTEM biçimindeki dosyaları yanlışlıkla silmesine neden olur.”
Daha da kötüsü, bu keyfi dosya silme işlemi, yükseltilmiş bir Komut İstemi’nin güvenliğini sağlamak için bir silah haline getirilebilir. yarış durumu saldırısı Windows yükleyicisinin geri alma işlevini hedefleyerek potansiyel olarak kod yürütülmesine yol açar.
“Keyfi dosya silme istismarları artık bunlarla sınırlı değil [denial-of-service attacks and can indeed serve as a means to achieve elevated code execution,” Oliveau said, adding such exploits can be combined with “MSI’s rollback functionality to introduce arbitrary files into the system.”
“A seemingly innocuous process of logging and deleting events within an insecure folder can enable an attacker to create pseudo-symlinks, deceiving privileged processes into running actions on unintended files.”
