SolarWinds Access Rights Manag... Notiz

SolarWinds Access Rights Manager: Eine Schwachstelle zur LPE für alle

Im SolarWinds Access Rights Manager-Produkt wurden mehrere Schwachstellen gefunden, darunter Remote-Code-Ausführung vor der Authentifizierung und Dateilöschschwachstellen. Ein Forscher entdeckte 18 Schwachstellen im Produkt, darunter Dateilöschschwachstellen vor der Authentifizierung, die zur Eskalation von Berechtigungen auf Domänen-verbundenen Windows-Rechnern genutzt werden können. Die Schwachstellen wurden vom Anbieter mit dem ARM 2024.3-Update behoben.Der Forscher fand heraus, dass das Produkt mit einem Domänenkonto arbeitet, das ein hoch privilegiertes Dienstkonto oder ein Domänenadministratorkonto sein kann. Die Dateilöschschwachstellen vor der Authentifizierung können dazu verwendet werden, Dateien remote als hoch privilegiertes Domänenkonto zu entfernen.Der Forscher demonstrierte, wie die Dateilöschschwachstelle dazu genutzt werden kann, Berechtigungen auf jedem Windows-Rechner zu eskalieren, der mit der Domäne verbunden ist. Die Schwachstelle kann ausgenutzt werden, indem der Methode „File.Delete“ ein UNC-Pfad bereitgestellt wird, der es dem Angreifer ermöglicht, Dateien remote als Administrator zu entfernen.Der Forscher zeigte auch, wie die Schwachstelle dazu genutzt werden kann, Berechtigungen auf einem Rechner zu eskalieren, auf dem SolarWinds ARM nicht läuft. Der Angreifer kann die Dateilöschschwachstelle nutzen, um eine Datei von einem Rechner zu entfernen, den er kontrolliert, was es ihm ermöglicht, den Namen des SolarWinds ARM AD-Kontos zu ermitteln.Der Forscher kam zu dem Schluss, dass die Dateilöschschwachstelle erhebliche Auswirkungen auf die Sicherheit der gesamten Active Directory-Domäne haben kann. Die Schwachstelle kann dazu genutzt werden, Berechtigungen auf jedem mit der Windows-Domäne verbundenen Rechner zu eskalieren, selbst auf solchen, auf denen SolarWinds ARM nicht installiert ist.Der Forscher empfahl allen Benutzern von SolarWinds ARM, das ARM 2024.3-Update so bald wie möglich zu testen und bereitzustellen, um die Schwachstellen zu beheben. Der Forscher stellte außerdem eine Demo des Exploits bereit und forderte die Benutzer auf, ihm in den sozialen Medien zu folgen, um die neuesten Informationen zu Exploits-Techniken und Sicherheitspatches zu erhalten.