Take Control Agent

خرق أمني خطير في Take Control Agent من N-Able يعرض أنظمة Windows لزيادة الامتيازات.

خرق أمني خطير في Take Control Agent من N-Able يعرض أنظمة Windows لزيادة الامتيازات. تم الكشف عن ثغرة أمنية خطيرة في Take Control Agent من N-Able يمكن أن تُستغل من قبل مهاجم غير مُحَازَز محليًا لاكتساب امتيازات SYSTEM.

تم تتبع هذه الثغرة الأمنية تحت رقم CVE-2023-27470 (درجة CVSS: 8.8). وتتعلق باحتمال حدوث حالة تنافسية عند التحقق من صحة الوقت (TOCTOU) ، والتي يمكن عند استغلالها بنجاح استخدامها لحذف ملفات عشوائية على نظام Windows.

تم إصلاح هذا النقص الأمني. الذي يؤثر على الإصدارات 7.0.41.1141 والإصدارات السابقة. في الإصدار 7.0.43 الذي تم إصداره في 15 مارس 2023. بعد الإبلاغ المسؤول من قبل Mandiant في 27 فبراير 2023.

يحدث احتمال حدوث حالة تنافسية عند التحقق من صحة الوقت عندما يتحقق برنامج من حالة مورد لقيمة محددة ، ولكن تتغير هذه القيمة قبل استخدامها فعليًا. مما يبطل نتائج التحقق.

يمكن أن يؤدي استغلال مثل هذا النقص الأمني إلى فقدان النزاهة وإغراق البرنامج في أداء إجراءات لا ينبغي أن يؤديها في ظل الظروف العادية. مما يسمح لعامل تهديد بالوصول إلى موارد غير مصرح بها.

هل له صلة بال security-relevant.

“يمكن أن تكون هذه الضعفة ذات صلة بال security-relevant عندما يتمكن المهاجم من التأثير على حالة المورد بين التحقق والاستخدام”. وفقًا لوصف في نظام تعداد نقاط الضعف الشائعة (CWE). “يمكن أن يحدث هذا مع الموارد المشتركة مثل الملفات والذاكرة وحتى المتغيرات في البرامج متعددة الخيوط.”

وفقًا لشركة Mandiant المملوكة لشركة Google. فإن CVE-2023-27470 ينشأ من حالة تنافسية عند التحقق من صحة الوقت في Take Control Agent (BASupSrvcUpdater.exe) بين تسجيل أحداث حذف ملفات متعددة (على سبيل المثال. الملفات المسماة aaa.txt و bbb.txt) وكل إجراء حذف من مجلد محدد يسمى “C:\ProgramData\GetSupportService_N-Central\PushUpdates”.

“ببساطة. بينما يقوم BASupSrvcUpdater.exe بتسجيل حذف ملف aaa.txt. يمكن للمهاجم استبدال ملف bbb.txt برمز رمزي بسرعة. مما يوجه العملية إلى ملف عشوائي على النظام”. قال الباحث الأمني ​​في Mandiant Andrew Oliveau.

كما “سيؤدي هذا الإجراء إلى قيام العملية بحذف الملفات عن غير قصد كـ NT AUTHORITY\SYSTEM.”

ولعل الأمر الأكثر إثارة للقلق هو أن هذا الحذف العشوائي للملفات يمكن استخدامه للحصول على موجه أوامر مرتفع من خلال الاستفادة من هجوم حالة تنافسية يستهدف وظيفة التراجع في مثبت Windows. بينما  قد يؤدي إلى تنفيذ التعليمات البرمجية.

“لم تعد استغلالات حذف الملفات العشوائية مقتصرة على [هجمات رفض الخدمة ويمكن بالفعل أن تكون وسيلة لتحقيق تنفيذ التعليمات البرمجية المرتفع”. قال Oliveau. مضيفًا أن مثل هذه الاستغلالات يمكن دمجها مع “وظيفة التراجع في MSI لإدخال ملفات عشوائية إلى النظام”.

في النهاية يمكن لعملية تسجيل وحذف الأحداث التي تبدو غير ضارة داخل مجلد غير آمن أن تسمح للمهاجم بإنشاء شبه رموز رمزية. مما يخدع العمليات المُحَازَزة لتشغيل الإجراءات على ملفات غير مقصودة.”

التوصيات:

  • ينصح جميع مستخدمي Take Control Agent بتحديث أجهزتهم إلى الإصدار 7.0.43 أو أحدث لتجنب هذا الخطر الأمني.
  • يجب على مستخدمي Windows أيضًا توخي الحذر عند فتح أي ملفات مُرفقة برسائل بريد إلكتروني أو تنزيلات من مصادر غير معروفة.
  • يُنصح أيضًا بتشغيل برنامج مضاد للفيروسات وتحديثه بانتظام.

خرق أمني خطير في Take Control Agent من N-Able يعرض أنظمة Windows لزيادة الامتيازات. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.