Управление правами доступа Sol... Заметка
RSS Zero Day Initiative - Блог

Управление правами доступа SolarWinds: одна уязвимость для локального повышения привилегий

Продукт SolarWinds Access Rights Manager был обнаружен с несколькими уязвимостями, включая удаленное выполнение кода без аутентификации и уязвимости удаления файлов. Исследователь обнаружил 18 уязвимостей в продукте, включая уязвимости удаления файлов без аутентификации, которые можно использовать для повышения привилегий на машинах Windows, присоединенных к домену. Уязвимости были устранены поставщиком с помощью обновления ARM 2024.3.Исследователь обнаружил, что продукт работает с использованием учетной записи домена, которая может быть высокопривилегированной служебной учетной записью или учетной записью администратора домена. Уязвимости удаления файлов без аутентификации можно использовать для удаления файлов удаленно с высокими привилегиями доменной учетной записи.Исследователь продемонстрировал, как уязвимость удаления файла можно использовать для повышения привилегий на любой машине Windows, присоединенной к домену. Уязвимость можно эксплуатировать, предоставив UNC-путь методу File.Delete, который позволяет атакующему удалить файлы удаленно с правами администратора.Исследователь также продемонстрировал, как уязвимость можно использовать для повышения привилегий на машине, на которой не запущен SolarWinds ARM. Атакующий может использовать уязвимость удаления файла для удаления файла с машины, которую он контролирует, что позволяет ему обнаружить имя учетной записи SolarWinds ARM AD.Исследователь заключил, что уязвимость удаления файла может иметь значительное влияние на безопасность всего домена Active Directory. Уязвимость можно использовать для повышения привилегий на любой машине Windows, присоединенной к домену, даже на тех, на которых не установлен SolarWinds ARM.Исследователь рекомендовал всем пользователям SolarWinds ARM протестировать и развернуть обновление ARM 2024.3 как можно скорее, чтобы устранить уязвимости. Исследователь также предоставил демонстрацию эксплуатации и призвал пользователей следить за ними в социальных сетях для получения последних сведений об эксплуатации и патчах безопасности.