Обнаружен новый вектор эксплуатации опасной уязвимости в Citrix Workspace

Обнаружен новый вектор эксплуатации опасной уязвимости в Citrix Workspace

Злоумышленники могут повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.

Уязвимость в программной платформе для цифрового рабочего пространства Citrix Workspace, исправленная в июле нынешнего года, имеет вторичный вектор атаки, который позволяет злоумышленникам повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.

Уязвимость ( CVE-2020-8207 ) содержится в службе автоматического обновления приложения Citrix Workspace для Windows. Ее эксплуатация позволяет локально повышать привилегии, а также удаленно скомпрометировать компьютер c запущенным приложением и включенным общим доступом к файлам Windows (SMB). Хотя проблема и была исправлена летом, злоумышленники по-прежнему могут злоупотреблять подписанными Citrix установщиками MSI, сообщили специалисты из Pen Test Partners.

Служба обновления изначально полагалась на некорректный хэш файла в полезной нагрузке JSON с целью определить, следует ли продолжать процесс обновления, позволяя злоумышленникам загружать свой код. Для решения данной проблемы последние каталоги обновлений теперь загружаются напрямую с серверов обновлений Citrix, а служба перекрестно ссылается на хэши с файлом, который запрашивается для установки из атрибута UpdateFilePath.

Однако выпущенный патч не препятствовал удаленному подключению, чтобы ограничить поверхность атаки.

«В каталоге есть исполняемые файлы и файлы MSI для установки. Файлы MSI не могут выполняться так же, как исполняемые файлы, поэтому служба обновления должна обрабатывать их иным способом», — пояснили эксперты.

Как обнаружили исследователи при просмотре кода запуска установщика, приложение проверяет расширение файла, запрашиваемого для обновления, и, если он заканчивается на MSI, полагает, что это файл установщика Windows. Поскольку файл MSI проверяется на наличие действительной подписи и имеет перекрестную ссылку с текущим каталогом, злоумышленники не могут напрямую устанавливать произвольные файлы MSI. Несмотря на то, что файлы MSI подписаны и хэшированы для предотвращения изменений, одной из функций, поддерживаемых установщиком Windows, является MSI Transforms (MST).

«Как следует из названия, MSI Transforms поддерживает изменение или преобразование базы данных MSI каким-либо образом перед установкой. Администраторы домена обычно используют эту функцию для распространения файлов MSI в средах Active Directory, которые не всегда работают автоматически. Например, может быть создан MST, который будет вводить код активации продукта перед установкой», — сообщили исследователи.

Чтобы применить MST, пользователи должны указать путь к файлу преобразования в командной строке, которая объединяет основной файл MSI с изменениями, присутствующими в файле MST во время процесса установки. В этом и заключается проблема.

«Поскольку мы можем контролировать аргументы, передаваемые в msiexec, мы можем включить путь к вредоносному MST, но с использованием официального подписанного MSI-файла Citrix, который присутствует в файле каталога», — пояснили в Pen Test Partners.

Вредоносные MSTмогут быть созданы с помощью существующего инструмента под названием Microsoft Orca или с помощью специального инструмента. Проэксплуатировав уязвимость, злоумышленники могут поместить исходный установщик MSI и MST в общий сетевой ресурс, подготовленный для устройства жертвы.

Источник: Securitylab