Notícias de dispositivos móveis, gadgets, aplicativos Android

Windows Vulnerabilidade de exclusão arbitrária de arquivos leva ao comprometimento total do sistema

Os atores da ameaça estavam usando Windows Exclusão arbitrária de arquivos para realizar ataques de negação de serviço em sistemas afetados por esta vulnerabilidade. No entanto, relatórios recentes indicam que esta Windows A exclusão arbitrária de arquivos pode ser usada para um comprometimento total.

A possibilidade deste ataque depende da CVE-2023-27470 vulnerabilidade de exclusão arbitrária de arquivos combinando-a com uma condição de corrida Time-of-Check to Time-of-Use (TOCTOU), que permite a exclusão de arquivos em um Windows sistema e posteriormente cria um prompt de comando elevado.

CVE-2023-27470 & TOCTOU – Análise Técnica

CVE-2023-27470 afeta o Take Control Agent da N-Able, o que pode levar a uma vulnerabilidade de exclusão arbitrária de arquivos. Esta análise de vulnerabilidade foi feita usando Monitor de processos da Microsoftgeralmente chamado de ProcMon.

Esta vulnerabilidade existe devido a operações de arquivo inseguras conduzidas por processos NT AUTHORITY\SYSTEM que foram detectadas com a ajuda de filtros ProcMon.

O processo que foi analisado durante esta vulnerabilidade foi BASupSrvcUpdater.exe, pertencente ao Take Control Agent 7.0.41.1141.

Documento

Condição de corrida

BASupSrvcUpdater.exe tenta a cada 30 segundos uma pasta inexistente em C:\ProgramData\GetSupportService_N-Central\PushUpdates como um processo NT AUTHORITY\SYSTEM. Para pesquisas futuras, esta pasta PushUpdates e um arquivo fictício aaa.txt foram criados.

BASupSrvcUpdater.exe fez uma tentativa de ler o conteúdo da pasta e executou uma exclusão, que foi registrada em C:\ProgramData\GetSupportService_N-Central\Logs\BASupSrvcUpdater_[DATE]Arquivo de log .log.

Essa ação específica dá origem a uma condição de corrida, pois um agente de ameaça pode explorar essa condição utilizando o período entre a exclusão e o registro em log.

Para explorar essa condição e comprometer totalmente o sistema, um invasor deve substituir um arquivo na pasta PushUpdates por um pseudolink simbólico.

Nós recomendamos:  10 melhores tocadores de música para Windows PC em 2023

A relatório completo sobre este ataque foi publicado, que fornece informações detalhadas sobre a exploração, técnicas, processo e método de comprometimento completo do sistema.

Para evitar esse ataque, é recomendado que as organizações que usam o N-able atualizem para a versão 7.0.43 para corrigir esta vulnerabilidade.