SolarWinds Access Rights Manag... ノート

SolarWinds Access Rights Manager: ひとつの脆弱性でLPEをすべて支配する

SolarWinds Access Rights Manager製品が複数の脆弱性を持つことが判明し、pre-authリモートコード実行やファイル削除の脆弱性が含まれていた。研究者は、製品に18の脆弱性を発見し、ドメイン参加Windowsマシンの特権を上昇させることができるpre-authファイル削除の脆弱性も含まれていた。脆弱性は、ベンダーがARM 2024.3更新で対処した。研究者は、製品がドメインアカウントで動作し、高度に特権化されたサービスアカウントかドメインAdminアカウントが使用されることを発見した。pre-authファイル削除の脆弱性は、高度に特権化されたドメインアカウントとしてリモートでファイルを削除するために使用できる。研究者は、ファイル削除の脆弱性が、ドメイン参加Windowsマシンの特権を上昇させるためにどのように使用できるかをデモンストレーションした。攻撃者は、File.DeleteメソッドにUNCパスを提供することで、管理者としてリモートでファイルを削除することができる。研究者はまた、SolarWinds ARMが実行されていないマシンでの特権上昇のデモンストレーションも行った。攻撃者は、ファイル削除の脆弱性を使用して、制御下にあるマシンからファイルを削除し、SolarWinds ARM ADアカウントの名前を発見することができる。研究者は、ファイル削除の脆弱性が、Active Directoryドメインのセキュリティーに大きな影響を与える可能性があると結論づけた。この脆弱性は、SolarWinds ARMがインストールされていないドメイン参加Windowsマシンの特権を上昇させることもできる。研究者は、SolarWinds ARMのユーザーに対し、脆弱性を解決するためにARM 2024.3更新をテストし、できるだけ早く展開することを推奨した。研究者はまた、デモの内容と、最新のexploit技術やセキュリティーパッチに関する情報をソーシャルメディアでフォローすることを勧めた。