تعدادی آسیبپذیری با شدت بالا در نرمافزار SplashTop شناسایی شدهاست که برای مقابله با آنها باید اعمال بهروزرسانی در نسخههای آسیبپذیر را در دستور کار قرار داد.
ارتقای دسترسی هکرها در SplashTop به دلیل پوشههای ناامن
github , 14 مرداد 1403 ساعت 10:04
تعدادی آسیبپذیری با شدت بالا در نرمافزار SplashTop شناسایی شدهاست که برای مقابله با آنها باید اعمال بهروزرسانی در نسخههای آسیبپذیر را در دستور کار قرار داد.
تعدادی آسیبپذیری با شدت بالا در نرمافزار SplashTop شناسایی شدهاست که برای مقابله با آنها باید اعمال بهروزرسانی در نسخههای آسیبپذیر را در دستور کار قرار داد.
به گزارش افتانا، چند آسیبپذیری با شدت بالا در نصبکننده نرمافزار SplashTop کشف شدهاند. این آسیبپذیریها به دلیل استفاده این نصبکننده از پوشهای موقت با دسترسیهای ضعیف برای ذخیره و بارگذاری فایلها ایجاد شدهاند و امکان ارتقای سطح دسترسی مهاجم به سطح SYSTEM را فراهم میکنند. این نرمافزار در دسته نرمافزارهای مدیریت و کنترل سیستم از راه دور قرار دارد که از نسخه Personal آن میتوان برای دسترسی به سیستمهای موجود در شبکههای محلی خانگی (Local) استفاده کرد.
با ارتقای سطح دسترسی به SYSTEM، مهاجم میتواند به تمام فایلها و تنظیمات سیستمی دسترسی پیدا کند. این دسترسی کامل، شامل دسترسی به اطلاعات حساس و قابلیتهای مدیریت سیستم نیز میشود. همچنین میتواند کد دلخواه خود را با سطح دسترسی SYSTEM اجرا کند. این به معنای امکان نصب بدافزار، تغییرات مخرب در تنظیمات سیستم، و یا بهرهبرداری از سیستم برای اهداف دیگر است. به علاوه، قادر خواهد بود تغییراتی در رجیستری ویندوز ایجاد کند یا با اجرای کدهای دلخواه باعث آسیب زدن به سیستمعامل، دادهها، و عملکرد کلی سیستم شود.
رجیستری ویندوز (Windows Registry) یک پایگاه دادهی سلسله مراتبی و متمرکز است که تنظیمات پیکربندی و اطلاعات حیاتی برای سیستمعامل ویندوز و نرمافزارهای نصبشده روی آن را ذخیره میکند. این پایگاه داده به عنوان یک هسته مرکزی برای مدیریت تنظیمات سیستمعامل، دستگاههای سختافزاری، برنامهها و کاربران عمل میکند.
هرگونه تغییر نادرست در رجیستری میتواند منجر به ناپایداری سیستم، خطاهای اجرایی، اجرای نامناسب نرمافزارها یا حتی ناتوانی در راهاندازی سیستمعامل شود. مهاجمان میتوانند از رجیستری برای نصب بدافزار، تغییر تنظیمات امنیتی، و ایجاد دسترسیهای غیرمجاز استفاده کنند. برای مثال، تنظیمات Startup در رجیستری میتوانند برای اجرای برنامههای مخرب در هر بار راهاندازی سیستم استفاده شوند. در ادامه، توضیحات 4 مورد آسیبپذیری ذکر شده آورده شده است.
آسیبپذیری CVE-2024-42050 با شدت بالا و امتیاز CVSS 7.0 ارزیابی شده است. همانطور که گفته شد، در فرایند نصب نرمافزار، نصبکننده MSI از پوشهای موقت با دسترسیهای ضعیف برای ذخیره و بارگذاری فایلها استفاده میکند. این پوشهی موقت معمولاً در دایرکتوری %TEMP% قرار دارد و کاربران میتوانند به آن دسترسی پیدا کنند و فایلهایی را در این پوشه قرار داده یا تغییر دهند.
در طی نصب، فایل CredProvider_Inst.reg از این پوشهی موقت بارگذاری میشود. این فایل REG میتواند مقادیر و کلیدهای جدیدی را به رجیستری ویندوز اضافه کند. اگر فایل MSI نصبکننده هنوز در مکان اصلی خود موجود باشد یا مهاجم بتواند فایل را دوباره به آن مکان بازگرداند، میتواند فرآیند نصب را دوباره اجرا کند. در این صورت، موفق خواهد شد با تنظیم قفلهای موقت (oplocks) روی فایل CredProvider_Inst.reg، آن را با محتوای دلخواه تغییر دهد.
Oplock (Opportunistic Lock) مکانیزمی برای بهبود عملکرد سیستمهای فایل در سیستمعاملهای ویندوز است. این مکانیزم به برنامهها اجازه میدهد تا با قرار دادن قفلهایی موقت روی فایلها از تغییرات همزمان توسط سایر برنامهها جلوگیری کرده و در نتیجه عملکرد بهتری داشته باشند. مهاجمان میتوانند با بهرهبرداری از ویژگی Oplock فایلهای حساس را در مسیرهای موقتی جایگزین کنند. این کار امکان اینکه آنها کد دلخواه خود را در سطح سیستمی اجرا کنند را فراهم میکند. علی الخصوص در فرآیندهای نصب نرمافزار که از پوشههای موقت استفاده میکنند، اگر مهاجم بتواند با تنظیم Oplock روی فایلهای مورد نظر، آنها را تغییر دهد، میتواند به ارتقاء سطح دسترسی یا اجرای کد دلخواه در سطح بالاتری برسد.
نصبکننده MSI فایل CredProvider_Inst.reg تغییر یافته را بارگذاری کرده و آن را به رجیستری اضافه میکند. اگر مهاجم بتواند محتوای این فایل REG را بهگونهای تغییر دهد که به طور غیرمستقیم به اجرای کد دلخواه منجر شود (مثلاً با تغییر مسیر اجرای برنامههای سیستمی)، میتواند سطح دسترسی SYSTEM را برای خود فراهم سازد.
آسیبپذیری CVE-2024-42051با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده است. در این مورد، در فرآیند نصب، فایل InstRegExp.reg از پوشه موقتی که در دایرکتوری %TEMP% قرار دارد بارگذاری شده و به رجیستری ویندوز اضافه میشود. مهاجم میتواند فایل SetupUtil.exe را که جزء اصلی فرایند نصب است از پوشه موقت حذف کرده و به جای آن یک فایل .reg با همان نام قرار دهد. در این حالت، نصبکننده با نگاه به پوشه موقت، فایل .reg تغییر یافته را بارگذاری میکند. با این کار، مهاجم خواهد توانست محتوای فایل InstRegExp.reg را بهگونهای تغییر دهد که مقادیر یا کلیدهای دلخواه را به رجیستری اضافه کند تا به اجرای کد دلخواهش در سیستم منجر شود یا به تغییر مسیر اجرای برنامههای سیستم کمک کند.
در آسیبپذیری CVE-2024-42052 نیز که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده است، در طی فرآیند نصب splashtop ، اگر فایل اجرایی wevtutil.exe در مسیر صحیح وجود نداشته باشد، نصبکننده تلاش میکند این فایل را از پوشه موقت %TEMP% بارگذاری کند. مهاجم میتواند از این موضوع بهرهبرداری کرده و یک فایل اجرایی مخرب با نام wevtutil.exe را در پوشه موقت قرار دهد. نصبکننده MSI این فایل مخرب را با دسترسی سیستمی (SYSTEM) اجرا میکند و امکان کنترل سیستم و اجرای کدهای دلخواه را برای مهاجم فراهم میآورد.
در آسیبپذیری CVE-2024-42053 که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده است، مهاجم میتواند در طی فرایند نصب، از طریق نصبکننده یک فایل DLL به نام version.dll را در صورتی که در پوشهی موقت موجود باشد، بارگذاری کند. وقتی بارگذاری با موفقیت انجام شود، کد مخرب موجود در فایل DLL با سطح دسترسی SYSTEM اجرا میشود و امنیت سیستم را به خطر میاندازد.
در شناسه CVE-2024-42050 نسخههای قبل از 3.7.0.0 آسیبپذیر هستند. در شناسه CVE-2024-42051 نسخههای قبل از 3.6.2.0 آسیبپذیر هستند. در شناسه CVE-2024-42052 نسخههای قبل از 3.5.8.0 آسیبپذیر هستند و در شناسه CVE-2024-42053 نسخههای قبل از 3.6.0.0 آسیبپذیر هستند.
برای کاهش خطر این آسیبپذیریها، در ابتدا توصیه میشود نرمافزار به آخرین نسخه موجود بهروزرسانی شود. همچنین محدودسازی دسترسی کاربران به پوشههای موقتی مانند %TEMP% جهت جلوگیری از قابلیت ایجاد تغییر در آنها توصیه میشود. ضمن ارائهیحداقل سطح دسترسی به هر نرمافزار، باید در فرایند نصب دقت شود که فایل مشکوکی در پوشههای نصب موجود نباشد. به این منظور میتوان از نرمافزارهای امنیتی و ابزارهای بررسی و اسکن خودکار بدافزار نیز استفاده کرد.
کد مطلب: 22347