Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ecco Come un Attaccante può Ottenere il Controllo Completo del Tuo PC

Raffaela Crisci : 4 Luglio 2024 16:37

Una grave vulnerabilità di sicurezza è stata scoperta in MSI Center, un software ampiamente utilizzato su sistemi Windows. Questa falla, classificata come CVE-2024-37726 e con un punteggio CVSS di 7.8 (alto), permette a un utente malintenzionato con privilegi bassi di ottenere il controllo completo del sistema.

L’elevazione dei privilegi si riferisce a una situazione in cui un utente con privilegi limitati ottiene un accesso con privilegi più alti, come quello dell’amministratore, senza avere l’autorizzazione corretta. Questo può permettere a un utente malintenzionato di eseguire operazioni che normalmente non sarebbero consentite.

Dettagli vulnerabilità

Sfruttando un difetto nel modo in cui MSI Center gestisce i permessi, un utente malintenzionato può manipolare il file system e indurre il software a sovrascrivere o eliminare file critici con privilegi elevati. In questo modo, l’attaccante può prendere il controllo del sistema e eseguire qualsiasi azione, incluso l’installazione di malware, il furto di dati sensibili o addirittura la possibiità di eseguire codice arbitrario col massimo livello di privilegi. Tutto ciò attraverso l’abuso dei symlinks (symbolic links) sfruttati per ingannare il sistema operativo.

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Tutte le versioni di MSI Center fino alla 2.0.36.0 sono vulnerabili a questo attacco. Ciò significa che un numero considerevole di sistemi Windows potrebbe essere esposto a questa grave minaccia.

La vulnerabilità può essere sfruttata attraverso i seguenti passaggi:

Fase 1: Creare una directory con OpLock

Un utente con privilegi bassi crea una directory in una posizione accessibile, creando a sua volta un file al suo interno. Successivamente, l’utente utilizza uno strumento di sistema per impostare un OpLock (Mandatory Locking) sul file precedentemente creato. Un OpLock impedisce ad altri processi di accedere o modificare il file finché il blocco non viene rilasciato.

Fase 2: Attivazione dell’operazione di scrittura tramite MSI Center

****La funzione “Esporta informazioni di sistema” in MSI Center viene utilizzata per attivare un’operazione di scrittura sul file OpLocked.

Fase 3: Sostituzione del file originale con una giunzione simbolica

Mentre MSI Center tenta di scrivere sul file bloccato con OpLock, l’attaccantlo sostituisce con una giunzione simbolica che punta al file di destinazione desiderato (ad esempio, un file di sistema critico).

Fase 4: Sfruttamento dei privilegi elevati di MSI Center

Quando MSI Center tenterà di completare l’operazione di scrittura, non sarà in grado di accedere al file originale a causa del blocco OpLock. Tuttavia, a causa della giunzione simbolica creata in precedenza, MSI Center scriverà o sovrascriverà il file di destinazione a cui punta la giunzione.

Poiché MSI Center viene eseguito con privilegi NT AUTHORITY\SYSTEM, l’attaccante ottiene il controllo completo del file di destinazione, potenzialmente sovrascrivendolo con codice dannoso o eliminandolo del tutto.

In sintesi, questa vulnerabilità sfrutta la combinazione di OpLock e giunzioni simboliche per ingannare MSI Center a eseguire azioni con privilegi elevati su un file di destinazione arbitrario. Un utente malintenzionato con privilegi bassi può sfruttare questo metodo per prendere il controllo del sistema, installare malware, rubare dati sensibili o causare altri danni gravi.

Possibili sfruttamenti

Questa vlnerabilità apre la porta a una serie di gravi conseguenze, tra cui:

  • Compromissione di File Critici: L’attaccante può sovrascrivere o eliminare arbitrariamente file con privilegi elevati, causando potenziali danni irreparabili al sistema operativo, alle applicazioni o ai dati sensibili.
  • Installazione Silenziosa di Malware: L’elevazione dei privilegi permette all’attaccante di installare software dannoso senza richiedere privilegi di amministratore, compromettendo la sicurezza di tutti gli utenti del sistema. Inoltre MSI center è un binario con signature Windows permettendo di bypassare processi di monitoring o antivirus, l’utilizzo di binari Windows standard è chiamato Living-Off-The-Land.
  • Esecuzione Arbitraria di Codice: L’attaccante può eseguire codice arbitrario con privilegi di SISTEMA, ottenendo il controllo completo del sistema e potenzialmente installando backdoor persistenti o rubando dati critici.
  • Compromissione dell’Avvio del Sistema: L’attaccante può posizionare payload dannosi in posizioni di avvio, attivandoli automaticamente all’accesso di un amministratore, compromettendo l’intero sistema.

Conclusioni

MSI ha risolto la vulnerabilità nella versione 2.0.38.0 di MSI Center, rilasciata il 3 luglio 2024. L’aggiornamento immediato a questa versione è fondamentale per mitigare il rischio.

La vulnerabilità CVE-2024-37726 rappresenta una grave minaccia per i sistemi Windows che utilizzano MSI Center. Aggiornare all’ultima versione e adottare le opportune misure di sicurezza è fondamentale per mitigare il rischio e proteggere i sistemi da potenziali attacchi informatici.

Raffaela Crisci
Membro del gruppo di Red Hot Cyber Dark Lab. Ingegnere informatico laureata con lode presso l'Università degli Studi del Sannio, con specializzazione in Cyber Security. Esperta in Cyber Threat Intelligence con esperienza in una multinazionale leader del settore. Forte disciplina e capacità organizzative sviluppate attraverso lo sport
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence
RUBRICHE
Alla scoperta della Sicurezza Informatica
Alla scoperta dell’Hacking
Interviste ai Threat Actors

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
COMMUNITY
Scrivi per Red Hot Cyber
Whistleblower
Red Hot Cyber Conference
Report
Contatti

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009

Facebook Twitter Youtube Linkedin Telegram Whatsapp