Pesquisadores de cibersegurança divulgaram novas falhas de segurança que afetam os Citrix Virtual Apps e Desktop, as quais podem ser exploradas para atingir a execução remota de código (RCE) sem autenticação.
O problema, conforme descoberto pela watchTowr, está enraizado no componente de Gravação de Sessão que permite aos administradores do sistema capturar a atividade do usuário, e gravar a entrada de teclado e mouse, juntamente com uma transmissão de vídeo da área de trabalho para fins de auditoria, conformidade e solução de problemas.
Em particular, a vulnerabilidade explora a "combinação de uma instância de MSMQ exposta descuidadamente com permissões mal configuradas que utiliza o BinaryFormatter pode ser acessada de qualquer host via HTTP para realizar o RCE sem autenticação", disse o pesquisador de segurança Sina Kheirkhah.
Os detalhes da vulnerabilidade estão listados abaixo:
CVE-2024-8068
(pontuação CVSS: 5.1) - Escalação de privilégios para acesso à conta NetworkService
CVE-2024-8069
(pontuação CVSS: 5.1) - Execução remota de código limitada com o privilégio de acesso à conta NetworkService
No entanto, a Citrix observou que a exploração bem-sucedida requer que um atacante seja um usuário autenticado no mesmo domínio do Windows Active Directory que o domínio do servidor de gravação de sessão e na mesma intranet que o servidor de gravação de sessão.
Os defeitos foram abordados nas seguintes versões:
Citrix Virtual Apps e Desktops antes do hotfix 2407 24.5.200.8
Citrix Virtual Apps e Desktops 1912 LTSR antes do hotfix CU9 19.12.9100.6
Citrix Virtual Apps e Desktops 2203 LTSR antes do hotfix CU5 22.03.5100.11
Citrix Virtual Apps e Desktops 2402 LTSR antes do hotfix CU1 24.02.1200.16
Vale ressaltar que a Microsoft instou os desenvolvedores a parar de usar o BinaryFormatter para deserialização, devido ao fato de que o método não é seguro quando usado com entrada não confiável.
Uma implementação de BinaryFormatter foi removida do .NET 9 a partir de agosto de 2024.
"O BinaryFormatter foi implementado antes das vulnerabilidades de deserialização serem uma categoria de ameaça bem compreendida", observa o gigante da tecnologia em sua documentação.
Como resultado, o código não segue as melhores práticas modernas.
O BinaryFormatter.Deserialize pode ser vulnerável a outras categorias de ataque, como divulgação de informações ou execução remota de código.
No coração do problema está o Gerenciador de Armazenamento de Gravação de Sessão, um serviço do Windows que gerencia os arquivos de sessão gravados recebidos de cada computador que possui o recurso ativado.
Enquanto o Gerenciador de Armazenamento recebe as gravações de sessão como bytes de mensagem através do serviço Microsoft Message Queuing (MSMQ), a análise descobriu que um processo de serialização é empregado para transferir os dados e que a instância da fila possui privilégios excessivos.
Para piorar, os dados recebidos da fila são desserializados usando o BinaryFormatter, permitindo assim que um atacante abuse das permissões inseguras definidas durante o processo de inicialização para passar mensagens MSMQ especialmente elaboradas enviadas via HTTP pela internet.
"Sabemos que há uma instância MSMQ com permissões mal configuradas, e sabemos que ela usa a infame classe BinaryFormatter para realizar a deserialização", disse Kheirkhah, detalhando os passos para criar um exploit.
A 'cereja no topo do bolo' é que ela pode ser alcançada não apenas localmente, através da porta TCP MSMQ, mas também de qualquer outro host, via HTTP.
"Esta combinação permite um bom e velho RCE sem autenticação", acrescentou o pesquisador.
Atualização:
A Citrix informou ao The Hacker News que, com base na análise da equipe de segurança, este não é um RCE sem autenticação, e sim um RCE autenticado que só pode ser realizado como uma conta NetworkService.
Quando procurados para comentar, a watchTowr disse que "A Citrix está minimizando a gravidade dessa vulnerabilidade como uma prioridade média, quando na verdade é uma apropriação total com um clique."
A empresa de gestão de superfície de ataque também disponibilizou um exploit proof-of-concept (PoC) para a falha.
A Fundação Shadowserver revelou desde então que já está vendo tentativas de exploração potenciais visando as duas falhas.
"Enquanto há discussão sobre se essas são exploráveis remotamente sem autenticação, urgimos que você atualize suas instalações AGORA", disse em uma postagem compartilhada no X.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...