Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Apache Tomcat: Un Rischio di Denial of Service minaccia Migliaia di Server!  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  GAIA di Red Hot Cyber intervista Vannevar Bush. Alla scoperta delle idee rivoluzionarie che ci hanno regalato il Futuro  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Ecco Come un Attaccante può Ottenere il Controllo Completo del Tuo PC  ///    Scropri i corsi di Red Hot Cyber    ///  Colpo di Scena! Il gruppo Telegram di Breach Forum torna nelle mani dei criminali per un errore dell’FBI  ///    Iscriviti al nostro canale Whatsapp    ///  Berners Lee e Vint Cerf vs ONU! Scopri cosa chiedono nella loro lettera aperta sulla governance di Internet  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Vulnerabilità Critiche in Splunk Enterprise Consentono l’Esecuzione di Codice Remoto  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Un Threat Actors mette in vendita 180.000 utenti di Shopify  ///    Scropri i corsi di Red Hot Cyber    ///  GlitchZone: la Nuova Frontiera della Cybersecurity Promossa da Scientifica Venture Capital  ///    Iscriviti al nostro canale Whatsapp    ///  CPU Intel Vulnerabili! Nuovo Attacco “Indirector” Minaccia Rileva Dati Sensibili  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  OpenSSH: Una RCE eseguita come Root mette a rischio 14 milioni di istanze su Linux  ///  
Crowdstrike

Ecco Come un Attaccante può Ottenere il Controllo Completo del Tuo PC

Raffaela Crisci : 4 Luglio 2024 16:37

Una grave vulnerabilità di sicurezza è stata scoperta in MSI Center, un software ampiamente utilizzato su sistemi Windows. Questa falla, classificata come CVE-2024-37726 e con un punteggio CVSS di 7.8 (alto), permette a un utente malintenzionato con privilegi bassi di ottenere il controllo completo del sistema.

L’elevazione dei privilegi si riferisce a una situazione in cui un utente con privilegi limitati ottiene un accesso con privilegi più alti, come quello dell’amministratore, senza avere l’autorizzazione corretta. Questo può permettere a un utente malintenzionato di eseguire operazioni che normalmente non sarebbero consentite.

Dettagli vulnerabilità

Sfruttando un difetto nel modo in cui MSI Center gestisce i permessi, un utente malintenzionato può manipolare il file system e indurre il software a sovrascrivere o eliminare file critici con privilegi elevati. In questo modo, l’attaccante può prendere il controllo del sistema e eseguire qualsiasi azione, incluso l’installazione di malware, il furto di dati sensibili o addirittura la possibiità di eseguire codice arbitrario col massimo livello di privilegi. Tutto ciò attraverso l’abuso dei symlinks (symbolic links) sfruttati per ingannare il sistema operativo.

Supporta Red Hot Cyber attraverso

Tutte le versioni di MSI Center fino alla 2.0.36.0 sono vulnerabili a questo attacco. Ciò significa che un numero considerevole di sistemi Windows potrebbe essere esposto a questa grave minaccia.

La vulnerabilità può essere sfruttata attraverso i seguenti passaggi:

Fase 1: Creare una directory con OpLock

Un utente con privilegi bassi crea una directory in una posizione accessibile, creando a sua volta un file al suo interno. Successivamente, l’utente utilizza uno strumento di sistema per impostare un OpLock (Mandatory Locking) sul file precedentemente creato. Un OpLock impedisce ad altri processi di accedere o modificare il file finché il blocco non viene rilasciato.

Fase 2: Attivazione dell’operazione di scrittura tramite MSI Center

****La funzione “Esporta informazioni di sistema” in MSI Center viene utilizzata per attivare un’operazione di scrittura sul file OpLocked.

Fase 3: Sostituzione del file originale con una giunzione simbolica

Mentre MSI Center tenta di scrivere sul file bloccato con OpLock, l’attaccantlo sostituisce con una giunzione simbolica che punta al file di destinazione desiderato (ad esempio, un file di sistema critico).

Fase 4: Sfruttamento dei privilegi elevati di MSI Center

Quando MSI Center tenterà di completare l’operazione di scrittura, non sarà in grado di accedere al file originale a causa del blocco OpLock. Tuttavia, a causa della giunzione simbolica creata in precedenza, MSI Center scriverà o sovrascriverà il file di destinazione a cui punta la giunzione.

Poiché MSI Center viene eseguito con privilegi NT AUTHORITY\SYSTEM, l’attaccante ottiene il controllo completo del file di destinazione, potenzialmente sovrascrivendolo con codice dannoso o eliminandolo del tutto.

In sintesi, questa vulnerabilità sfrutta la combinazione di OpLock e giunzioni simboliche per ingannare MSI Center a eseguire azioni con privilegi elevati su un file di destinazione arbitrario. Un utente malintenzionato con privilegi bassi può sfruttare questo metodo per prendere il controllo del sistema, installare malware, rubare dati sensibili o causare altri danni gravi.

Possibili sfruttamenti

Questa vlnerabilità apre la porta a una serie di gravi conseguenze, tra cui:

  • Compromissione di File Critici: L’attaccante può sovrascrivere o eliminare arbitrariamente file con privilegi elevati, causando potenziali danni irreparabili al sistema operativo, alle applicazioni o ai dati sensibili.
  • Installazione Silenziosa di Malware: L’elevazione dei privilegi permette all’attaccante di installare software dannoso senza richiedere privilegi di amministratore, compromettendo la sicurezza di tutti gli utenti del sistema. Inoltre MSI center è un binario con signature Windows permettendo di bypassare processi di monitoring o antivirus, l’utilizzo di binari Windows standard è chiamato Living-Off-The-Land.
  • Esecuzione Arbitraria di Codice: L’attaccante può eseguire codice arbitrario con privilegi di SISTEMA, ottenendo il controllo completo del sistema e potenzialmente installando backdoor persistenti o rubando dati critici.
  • Compromissione dell’Avvio del Sistema: L’attaccante può posizionare payload dannosi in posizioni di avvio, attivandoli automaticamente all’accesso di un amministratore, compromettendo l’intero sistema.

Conclusioni

MSI ha risolto la vulnerabilità nella versione 2.0.38.0 di MSI Center, rilasciata il 3 luglio 2024. L’aggiornamento immediato a questa versione è fondamentale per mitigare il rischio.

La vulnerabilità CVE-2024-37726 rappresenta una grave minaccia per i sistemi Windows che utilizzano MSI Center. Aggiornare all’ultima versione e adottare le opportune misure di sicurezza è fondamentale per mitigare il rischio e proteggere i sistemi da potenziali attacchi informatici.

Raffaela Crisci
Membro del gruppo di Red Hot Cyber Dark Lab. Ingegnere informatico laureata con lode presso l'Università degli Studi del Sannio, con specializzazione in Cyber Security. Esperta in Cyber Threat Intelligence con esperienza in una multinazionale leader del settore. Forte disciplina e capacità organizzative sviluppate attraverso lo sport
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009