SolarWinds Access Rights Manager : une vulnérabilité pour les contrôler tous
Le produit SolarWinds Access Rights Manager s'est avéré présenter plusieurs vulnérabilités, dont des vulnérabilités de type exécution de code à distance avant authentification et suppression de fichiers. Un chercheur a découvert 18 vulnérabilités dans le produit, dont des vulnérabilités de suppression de fichiers avant authentification pouvant être utilisées pour élever les privilèges sur les machines Windows rattachées à un domaine. Les vulnérabilités ont été corrigées par le fournisseur avec la mise à jour ARM 2024.3.Le chercheur a découvert que le produit fonctionne à l'aide d'un compte de domaine, qui peut être un compte de service très privilégié ou un compte d'administrateur de domaine. Les vulnérabilités de suppression de fichiers avant authentification peuvent être utilisées pour supprimer des fichiers à distance en tant que compte de domaine très privilégié.Le chercheur a montré comment la vulnérabilité de suppression de fichiers peut être utilisée pour élever les privilèges sur n'importe quelle machine Windows rattachée au domaine. La vulnérabilité peut être exploitée en fournissant un chemin UNC à la méthode File.Delete, ce qui permet à l'attaquant de supprimer des fichiers à distance en tant qu'administrateur.Le chercheur a également montré comment la vulnérabilité peut être utilisée pour élever les privilèges sur une machine n'exécutant pas SolarWinds ARM. L'attaquant peut utiliser la vulnérabilité de suppression de fichiers pour supprimer un fichier d'une machine qu'il contrôle, ce qui lui permet de découvrir le nom du compte SolarWinds ARM AD.Le chercheur a conclu que la vulnérabilité de suppression de fichiers peut avoir un impact significatif sur la sécurité de l'ensemble du domaine Active Directory. La vulnérabilité peut être utilisée pour élever les privilèges sur n'importe quelle machine Windows rattachée au domaine, même celles sur lesquelles SolarWinds ARM n'est pas installé.Le chercheur a recommandé à tous les utilisateurs de SolarWinds ARM de tester et de déployer la mise à jour ARM 2024.3 dès que possible pour corriger les vulnérabilités. Le chercheur a également fourni une démonstration de l'exploit et a encouragé les utilisateurs à les suivre sur les réseaux sociaux pour obtenir les dernières informations sur les techniques d'exploit et les correctifs de sécurité.