El investigador de seguridad Naor Hodorov ha publicado recientemente un análisis de una vulnerabilidad descubierta en AnyDesk, un popular software de administración remota. Esta vulnerabilidad, identificada como CVE-2024-12754, podría permitir que un usuario con pocos privilegios obtenga acceso elevado y potencialmente tome el control total de un sistema.
La vulnerabilidad se origina en una operación de lectura y copia de archivos arbitrarios realizada por el servicio AnyDesk como NT AUTHORITY\SYSTEM. En términos más simples, el servicio, que se ejecuta con los privilegios de sistema más altos, puede copiar cualquier archivo a una ubicación a la que puedan acceder usuarios con pocos privilegios, lo que podría sobrescribir los archivos existentes y conservar la propiedad y los permisos originales.
Hodorov explica que un usuario con pocos privilegios puede configurar su imagen de fondo, que luego el servicio AnyDesk copia al directorio C:\Windows\Temp. El archivo copiado conserva el nombre de archivo original y es propiedad de NT AUTHORITY\SYSTEM. De forma predeterminada, los usuarios con pocos privilegios tienen acceso limitado a C:\Windows\Temp, pero pueden crear y escribir archivos en este directorio.
Esta combinación de factores permite a un atacante crear previamente un archivo con el mismo nombre que el archivo de destino en C:\Windows\Temp. Cuando el servicio AnyDesk copia la imagen de fondo, sobrescribe el archivo creado previamente, lo que otorga al atacante la propiedad del archivo con privilegios NT AUTHORITY\SYSTEM.
Hodorov demuestra cómo se puede explotar esta vulnerabilidad para obtener una escalada de privilegios locales atacando archivos de sistema sensibles como SAM, SYSTEM y SECURITY, a los que normalmente solo pueden acceder el sistema y los administradores. Al aprovechar la vulnerabilidad para obtener el control de estos archivos, un atacante podría extraer las credenciales de los usuarios y obtener el control total del sistema.
La vulnerabilidad CVE-2024-12754 fue corregida en la versión v9.0.1 de AnyDesk . Se recomienda encarecidamente a los usuarios que actualicen a la última versión para protegerse de posibles ataques.
Esta vulnerabilidad destaca la importancia de comprender y mitigar los riesgos de seguridad asociados con el software utilizado para la administración remota. Como señala Hodorov , “ un usuario con pocos privilegios en Windows puede configurar su propia imagen de fondo, por lo tanto, controlamos la fuente del archivo que se copiará a pedido ”. Esta característica aparentemente inocua, cuando se combina con otras mecánicas del sistema, puede explotarse para obtener acceso no autorizado.
Para aquellos interesados en los detalles técnicos, hay disponible una prueba de concepto (PoC) de explotación en
GitHub . Los usuarios y administradores deben tomar en serio esta vulnerabilidad y aplicar los parches necesarios lo antes posible.
Fuente: securityonline.info
