A Vulnerabilidade do Agente de Controle da N-Able expõe sistemas Windows à escalada de privilégios
14 de Setembro de 2023

Uma falha de segurança de alta gravidade foi revelada no Agente Take Control da N-Able que poderia ser explorada por um invasor local sem privilégios para obter privilégios do SISTEMA.

Rastreado como CVE-2023-27470 (pontuação CVSS: 8.8), o problema está relacionado a uma vulnerabilidade de condição de corrida de Tempo de Verificação para Tempo de Uso (TOCTOU), que, quando explorada com sucesso, poderia ser usada para deletar arquivos arbitrários em um sistema Windows.

A brecha de segurança, que afeta as versões 7.0.41.1141 e anteriores, foi corrigida na versão 7.0.43 lançada em 15 de março de 2023, após a divulgação responsável da Mandiant em 27 de fevereiro de 2023.

O Tempo de Verificação para Tempo de Uso se enquadra em uma categoria de falhas de software onde um programa verifica o estado de um recurso para um valor específico, mas esse valor muda antes de ser realmente usado, invalidando efetivamente os resultados da verificação.

A exploração de tal falha pode resultar em perda de integridade e enganar o programa a executar ações que normalmente não deveria, permitindo a um ator de ameaça obter acesso a recursos sem autorização.

"Essa fraqueza pode ser relevante para a segurança quando um invasor pode influenciar o estado do recurso entre a verificação e o uso", de acordo com uma descrição do sistema de Enumeração de Fraquezas Comuns (CWE).

"Isso pode acontecer com recursos compartilhados, como arquivos, memória, ou mesmo variáveis em programas com vários threads."

De acordo com a empresa de inteligência de ameaças de propriedade do Google, o CVE-2023-27470 surge de uma condição de corrida TOCTOU no Agente Take Control (BASupSrvcUpdater.exe) entre registrar vários eventos de exclusão de arquivos (por exemplo, arquivos chamados aaa.txt e bbb.txt) e cada ação de exclusão de uma pasta específica denominada "C:\ProgramData\GetSupportService_N-Central\PushUpdates".

"Para colocar de maneira simples, enquanto o BASupSrvcUpdater.exe registrava a exclusão do aaa.txt, um invasor poderia rapidamente substituir o arquivo bbb.txt por um link simbólico, redirecionando o processo para um arquivo arbitrário no sistema", disse o pesquisador de segurança da Mandiant, Andrew Oliveau.

Essa ação faria com que o processo excluísse arquivos de maneira involuntária como NT AUTHORITY\SYSTEM.

Ainda mais perturbador, essa exclusão arbitrária de arquivos poderia ser usada para garantir um Prompt de Comando elevado aproveitando um ataque de condição de corrida direcionado à funcionalidade de roolback do instalador do Windows, levando potencialmente à execução de código.

"Os exploits de exclusão de arquivos arbitrários não se limitam mais a [ataques de negação de serviço] e, de fato, podem servir como meio para obter a execução de código elevado," disse Oliveau, acrescentando que esses exploits podem ser combinados com "funcionalidade de rollback do MSI para introduzir arquivos arbitrários no sistema."

"Um processo aparentemente inofensivo de registrar e excluir eventos dentro de uma pasta insegura pode permitir a um invasor criar links simbólicos falsos, enganando processos privilegiados a executar ações em arquivos não pretendidos."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...