Les vulnérabilités zero-day dans les programmes d’installation Windows pour le logiciel de surveillance et de gestion à distance Atera pourraient servir de tremplin pour lancer des attaques d’escalade de privilèges.
Les failles, découvertes par Mandiant le 28 février 2023, ont reçu les identifiants CVE-2023-26077 et CVE-2023-26078, les problèmes étant corrigés dans les versions 1.8.3.7 et 1.8.4.9 publiées par Atera le 17 avril 2023 et le 26 juin 2023, respectivement.
« La possibilité de lancer une opération à partir d’un contexte NT AUTHORITYSYSTEM peut présenter des risques potentiels pour la sécurité si elle n’est pas correctement gérée », a déclaré le chercheur en sécurité Andrew Oliveau. « Par exemple, des actions personnalisées mal configurées s’exécutant en tant que NT AUTHORITYSYSTEM peuvent être exploitées par des attaquants pour exécuter des attaques locales d’élévation de privilèges. »
L’exploitation réussie de ces faiblesses pourrait ouvrir la voie à l’exécution de code arbitraire avec des privilèges élevés.
Les deux failles résident dans la fonctionnalité de réparation du programme d’installation MSI, créant potentiellement un scénario dans lequel les opérations sont déclenchées à partir d’un contexte NT AUTHORITYSYSTEM même si elles sont initiées par un utilisateur standard.
Selon la société de renseignement sur les menaces appartenant à Google, Atera Agent est susceptible d’une attaque locale d’escalade de privilèges qui peut être exploitée via le détournement de DLL (CVE-2023-26077), qui pourrait ensuite être utilisée de manière abusive pour obtenir une invite de commande en tant qu’utilisateur NT AUTHORITYSYSTEM.
CVE-2023-26078, d’autre part, concerne « l’exécution de commandes système qui déclenchent l’hôte de la console Windows (conhost.exe) en tant que processus enfant », ouvrant ainsi une « fenêtre de commande qui, si elle est exécutée avec des privilèges élevés, peut être exploitée par un attaquant pour effectuer une attaque locale d’élévation de privilèges ».
« Les actions personnalisées mal configurées peuvent être faciles à identifier et à exploiter, ce qui pose des risques de sécurité importants pour les organisations », a déclaré Oliveau. « Il est essentiel que les développeurs de logiciels examinent en profondeur leurs actions personnalisées pour empêcher les attaquants de détourner les opérations NT AUTHORITYSYSTEM déclenchées par les réparations MSI. »
La divulgation intervient alors que Kaspersky a mis en lumière une grave faille d’escalade de privilèges désormais corrigée dans Windows (CVE-2023-23397, score CVSS : 9,8) qui a été activement exploitée dans la nature par des acteurs malveillants utilisant une tâche, un message ou un événement de calendrier Outlook spécialement conçu.
Bien que Microsoft ait précédemment révélé que des groupes d’États-nations russes militarisaient le bogue depuis avril 2022, les preuves recueillies par le fournisseur d’antivirus ont révélé que des tentatives d’exploitation réelles avaient été menées par un attaquant inconnu ciblant des entités gouvernementales et d’infrastructures critiques en Jordanie, Pologne, Roumanie, Turquie et Ukraine un mois avant la divulgation publique.
