Une faille de sécurité de haute gravité a été révélée dans l’agent Take Control de N-Able qui pourrait être exploitée par un attaquant local sans privilèges pour obtenir les privilèges SYSTEM.
Suivi comme CVE-2023-27470 (score CVSS : 8,8), le problème est lié à une vulnérabilité de condition de concurrence entre le moment de la vérification et le moment de l’utilisation (TOCTOU), qui, lorsqu’elle est exploitée avec succès, pourrait être exploitée pour supprimer des fichiers arbitraires sur un système Windows.
La faille de sécurité, qui affecte les versions 7.0.41.1141 et antérieures, a été corrigée dans la version 7.0.43 publiée le 15 mars 2023, suite à une divulgation responsable par Mandiant le 27 février 2023.
Time-of-Check to Time-of-Use relève d’une catégorie de failles logicielles dans lesquelles un programme vérifie l’état d’une ressource pour une valeur spécifique, mais cette valeur change avant qu’elle ne soit réellement utilisée, invalidant ainsi les résultats de la vérification.
L’exploitation d’une telle faille peut entraîner une perte d’intégrité et inciter le programme à effectuer des actions qu’il ne devrait pas autrement, permettant ainsi à un acteur malveillant d’accéder à des ressources non autorisées.
« Cette faiblesse peut avoir un impact sur la sécurité lorsqu’un attaquant peut influencer l’état de la ressource entre sa vérification et son utilisation », selon une description du système Common Weakness Enumeration (CWE). « Cela peut se produire avec des ressources partagées telles que des fichiers, de la mémoire ou même des variables dans des programmes multithreads. »
Selon la société de renseignement sur les menaces appartenant à Google, CVE-2023-27470 résulte d’une condition de concurrence TOCTOU dans l’agent Take Control (BASupSrvcUpdater.exe) entre la journalisation de plusieurs événements de suppression de fichiers (par exemple, des fichiers nommés aaa.txt et bbb.txt). et chaque action de suppression d’un dossier spécifique nommé « C:ProgramDataGetSupportService_N-CentralPushUpdates ».
« Pour faire simple, alors que BASupSrvcUpdater.exe enregistrait la suppression de aaa.txt, un attaquant pourrait rapidement remplacer le fichier bbb.txt par un lien symbolique, redirigeant le processus vers un fichier arbitraire sur le système », Andrew Oliveau, chercheur en sécurité chez Mandiant. dit.
« Cette action entraînerait la suppression involontaire par le processus des fichiers sous le nom NT AUTHORITYSYSTEM. »
Plus troublant encore, cette suppression arbitraire de fichiers pourrait être utilisée pour sécuriser une invite de commande élevée en tirant parti d’une attaque de condition de concurrence ciblant la fonctionnalité de restauration du programme d’installation de Windows, conduisant potentiellement à l’exécution de code.
« Les exploits de suppression arbitraire de fichiers ne se limitent plus aux[attaquespardénideserviceetpeuventeneffetservirdemoyend’obteniruneexécutiondecodeélevée »adéclaréOliveauajoutantquedetelsexploitspeuventêtrecombinésavec »lafonctionnalitéderestaurationdeMSIpourintroduiredesfichiersarbitrairesdanslesystème »[denial-of-serviceattacksandcanindeedserveasameanstoachieveelevatedcodeexecution »Oliveausaidaddingsuchexploitscanbecombinedwith »MSI’srollbackfunctionalitytointroducearbitraryfilesintothesystem »
« Un processus apparemment inoffensif de journalisation et de suppression d’événements dans un dossier non sécurisé peut permettre à un attaquant de créer des pseudo-liens symboliques, trompant ainsi les processus privilégiés en les faisant exécuter des actions sur des fichiers involontaires. »
