Хакеры способны повышать свои системные привилегии до максимальных и выполнять любой вредоносный код, как их остановить?

Уязвимости нулевого дня в Windows-инсталляторах программного обеспечения Atera, предназначенного для удалённого мониторинга и управления, могут послужить точкой входа для запуска атак с повышением привилегий.

Atera — это облачная платформа, которая позволяет IT-специалистам контролировать и управлять компьютерами и серверами своих клиентов на расстоянии. Для этого на каждом устройстве устанавливается специальный агент Atera, который обеспечивает связь конкретных устройств с центральным сервером.

В конце феврале исследователи из компании Mandiant обнаружили, что инсталлятор агента Atera содержит две критические уязвимости, которые позволяют выполнить произвольный код с повышенными привилегиями. Разработчики уязвимого ПО первыми узнали о наличии брешей в своём инсталляторе и принялись активно «пилить фиксы». В апреле была выпущена Atera 1.8.3.7 с исправлением первой найденной уязвимости, а в июне свет увидела Atera версии 1.8.4.9, где удалось устранить вторую.

На прошлой неделе, когда с момента выпуска исправлений прошло какое-то время, Mandiant выпустила подробный отчёт , раскрывающий суть работы выявленных уязвимостей.

Первая уязвимость ( CVE-2023-26077 ) связана с тем, что инсталлятор агента Atera использовал небезопасную функцию загрузки DLL-библиотек. Это означает, что злоумышленник мог применить популярный метод атаки DLL Hijacking и подменить одну из библиотек, которые загружает инсталлятор, своей собственной, тем самым выполнить злонамеренный код. При этом данный код в таком случае выполняется от имени системного пользователя NT AUTHORITY\SYSTEM, который имеет самые высокие привилегии в Windows.

Вторая уязвимость ( CVE-2023-26078 ) заключается в том, что инсталлятор агента Atera запускал системные команды, которые вызывают появление окна консоли Windows (conhost.exe). Это окно также открывается от имени системного пользователя NT AUTHORITY\SYSTEM, и злоумышленник мог воспользоваться этим фактом для выполнения своих команд с повышенными привилегиями.

«Возможность запускать операции от имени NT AUTHORITY\SYSTEM может представлять потенциальные риски для безопасности, если это не контролируется должным образом», — заявил один из исследователей Mandiant. «Например, неправильно настроенные особые действия , выполняющиеся от имени NT AUTHORITY\SYSTEM, могут быть эксплуатированы злоумышленниками для выполнения атак на повышение привилегий».

Клиентам Atera рекомендуется обновить своё программное обеспечение до последней версии, если они до сих пор этого не сделали.

За последнее время это далеко не первый случай обнаружения уязвимостей в инсталляторах Windows. Компания Kaspersky ранее сообщала о том, что серьёзная уязвимость в Windows (CVE-2023-23397), которая позволяла выполнить код с повышенными привилегиями с помощью специально подготовленного задания, сообщения или события в Outlook, активно использовалась злоумышленниками в реальных атаках.

«Неправильно настроенные особые действия могут быть крайне просты для обнаружения и эксплуатации, тем самым представляя серьёзные риски для безопасности организаций», — объяснили в Mandiant. «Важно, чтобы разработчики программного обеспечения тщательно проверяли свои особые действия, чтобы предотвратить захват операций NT AUTHORITY\SYSTEM, запускаемых восстановлением MSI».

Источник: securitylab