Logo CyberCare - cybersécurité
Demander un audit
Logo CyberCare - cybersécurité
Linkedin Instagram Facebook Tiktok
Demander un audit

Des failles dans les installateurs Windows d’Atera exposent les utilisateurs à des failles

  • par Kenan
  • , le 24 juillet 2023
  • 18 h 27 min

Des vulnérabilités de type « jour zéro » dans les installateurs Windows du logiciel de surveillance et de gestion à distance Atera pourraient servir de tremplin pour lancer des attaques par élévation de privilèges.

Les failles, découvertes par Mandiant le 28 février 2023, ont reçu les identifiants CVE-2023-26077 et CVE-2023-26078. Les problèmes ont été corrigés dans les versions 1.8.3.7 et 1.8.4.9 publiées par Atera le 17 avril 2023 et le 26 juin 2023, respectivement.

« La possibilité de lancer une opération à partir d’un contexte NT AUTHORITY\SYSTEM peut présenter des risques de sécurité potentiels si elle n’est pas correctement gérée », a déclaré Andrew Oliveau, chercheur en sécurité. « Par exemple, des actions personnalisées mal configurées s’exécutant en tant que NT AUTHORITY\SYSTEM peuvent être exploitées par des attaquants pour exécuter des attaques locales d’escalade de privilèges. »

L’exploitation réussie de ces faiblesses pourrait ouvrir la voie à l’exécution d’un code arbitraire avec des privilèges élevés.
Les deux failles résident dans la fonctionnalité de réparation de l’installateur MSI, créant potentiellement un scénario où les opérations sont déclenchées à partir d’un contexte NT AUTHORITY\SYSTEM même si elles sont initiées par un utilisateur standard.

Selon la société de veille sur les menaces appartenant à Google, Atera Agent est susceptible de faire l’objet d’une attaque locale par élévation de privilèges qui peut être exploitée par le biais d’un détournement de DLL (CVE-2023-26077), qui pourrait ensuite être utilisé pour obtenir une invite de commande en tant qu’utilisateur NT AUTHORITY\SYSTEM. CVE-2023-26078, quant à lui, concerne « l’exécution de commandes système qui déclenchent l’hôte de la console Windows (conhost.exe) en tant que processus enfant », ouvrant ainsi une « fenêtre de commande qui, si elle est exécutée avec des privilèges élevés, peut être exploitée par un attaquant pour effectuer une attaque locale par élévation de privilèges ».

 

« Les actions personnalisées mal configurées peuvent être faciles à identifier et à exploiter, ce qui pose des risques de sécurité importants pour les entreprises », a déclaré M. Oliveau. « Il est essentiel que les développeurs de logiciels examinent minutieusement leurs actions personnalisées afin d’empêcher les attaquants de détourner les opérations NT AUTHORITY\SYSTEM déclenchées par les réparations MSI. »

Partager:

Les dernières actualités :

CTEM : Nouvelle stratégie contre les cybermenaces 2023

CTEM : Nouvelle stratégie contre les cybermenaces 2023

GootLoader : nouvelle menace en cybersécurité

GootLoader : nouvelle menace en cybersécurité

Cybersécurité : l’attaque Polyfill.io dévoilée

Cybersécurité : l’attaque Polyfill.io dévoilée

Zergeca : nouvelle menace cybersécuritaire en détail

Zergeca : nouvelle menace cybersécuritaire en détail

Failles critiques chez Rockwell: risques et solutions

Failles critiques chez Rockwell: risques et solutions

Brésil vs Meta : enjeux de cybersécurité et IA

Brésil vs Meta : enjeux de cybersécurité et IA

logo cybercare horizontal blanc

Votre partenaire de confiance en cybersécurité, CyberCare protège ce qui compte le plus pour votre entreprise. Nous veillons sur vos données 24/7, afin que vous puissiez vous concentrer sur votre succès.

Linkedin Instagram Facebook Tiktok

Nos Services

Conseil en cybersécurité
Audit de sécurité
Surveillance EDR
Protection Antivirus

Pages

CyberNews
Nos Services
Contact
Guides

Contactez-nous

Liens

Plan du site

Mentions légales

Politiques de confidentialité

Sitemap

CyberCare @2024 all right reserved