Des failles dans les installateurs Windows d’Atera exposent les utilisateurs à des failles
- par Kenan
- , le 24 juillet 2023
- 18 h 27 min
Des vulnérabilités de type « jour zéro » dans les installateurs Windows du logiciel de surveillance et de gestion à distance Atera pourraient servir de tremplin pour lancer des attaques par élévation de privilèges.
Les failles, découvertes par Mandiant le 28 février 2023, ont reçu les identifiants CVE-2023-26077 et CVE-2023-26078. Les problèmes ont été corrigés dans les versions 1.8.3.7 et 1.8.4.9 publiées par Atera le 17 avril 2023 et le 26 juin 2023, respectivement.
« La possibilité de lancer une opération à partir d’un contexte NT AUTHORITY\SYSTEM peut présenter des risques de sécurité potentiels si elle n’est pas correctement gérée », a déclaré Andrew Oliveau, chercheur en sécurité. « Par exemple, des actions personnalisées mal configurées s’exécutant en tant que NT AUTHORITY\SYSTEM peuvent être exploitées par des attaquants pour exécuter des attaques locales d’escalade de privilèges. »
L’exploitation réussie de ces faiblesses pourrait ouvrir la voie à l’exécution d’un code arbitraire avec des privilèges élevés.
Les deux failles résident dans la fonctionnalité de réparation de l’installateur MSI, créant potentiellement un scénario où les opérations sont déclenchées à partir d’un contexte NT AUTHORITY\SYSTEM même si elles sont initiées par un utilisateur standard.
Selon la société de veille sur les menaces appartenant à Google, Atera Agent est susceptible de faire l’objet d’une attaque locale par élévation de privilèges qui peut être exploitée par le biais d’un détournement de DLL (CVE-2023-26077), qui pourrait ensuite être utilisé pour obtenir une invite de commande en tant qu’utilisateur NT AUTHORITY\SYSTEM. CVE-2023-26078, quant à lui, concerne « l’exécution de commandes système qui déclenchent l’hôte de la console Windows (conhost.exe) en tant que processus enfant », ouvrant ainsi une « fenêtre de commande qui, si elle est exécutée avec des privilèges élevés, peut être exploitée par un attaquant pour effectuer une attaque locale par élévation de privilèges ».
« Les actions personnalisées mal configurées peuvent être faciles à identifier et à exploiter, ce qui pose des risques de sécurité importants pour les entreprises », a déclaré M. Oliveau. « Il est essentiel que les développeurs de logiciels examinent minutieusement leurs actions personnalisées afin d’empêcher les attaquants de détourner les opérations NT AUTHORITY\SYSTEM déclenchées par les réparations MSI. »