• Categoria: Inteligência de vulnerabilidade
• Classe de vulnerabilidade: Escalação de privilégios
• ID DA CAVERNA: CVE-2023-21752
• CVSS: 3.0 Pontuação: 7.1 (Alto)

Sumário executivo

‍

AMEAÇA

• Rastreada como CVE-2023-21752, há uma vulnerabilidade que permite que um usuário básico execute código arbitrário em um host para excluir arquivos do caminho de armazenamento especificado, do serviço de backup e restauração do Windows. Essa ação só pode ser feita por usuários privilegiados.
• Essa exploração pode ser aproveitada para escalar privilégios em um host, do usuário básico para o usuário do SISTEMA.

‍

IMPACTO

• Exclusão de vários arquivos, fora do escopo básico do usuário, devido a tópicos que enfrentam condições de corrida.
• Escalonamento para o usuário 'SYSTEM', permitindo a aquisição do sistema de computador.
• O cenário de exploração é reduzido devido à aplicação suficiente de patches

‍

MITIGAÇÃO

• Os sistemas operacionais devem ser atualizados com os patches de segurança mais recentes.

‍

Análise técnica

Sobre a vulnerabilidade

A equipe de Inteligência de Ameaças da CloudSek descobriu uma postagem no fórum de crimes cibernéticos, na qual uma análise do CVE-2023-21752, divulgado recentemente, foi fornecida por um agente de ameaças com reputação média. A vulnerabilidade permite que usuários sem privilégios no sistema excluam ou modifiquem arquivos no caminho de destino de armazenamento desejado. A vulnerabilidade é acionada usando o Condição de corrida entre a criação e a exclusão temporária do arquivo, que ocorre após o processo de autenticação.

Os hosts do Windows que seguem instalações irregulares de patches estão sujeitos a riscos, com agentes de ameaças potencialmente utilizando a exploração na natureza. O requisito básico é ter uma conta local no sistema de destino.

‍

Após a exploração, um shell CMD é gerado com usuários não privilegiados obtendo privilégios de 'SISTEMA' no host Windows.

‍

Essa vulnerabilidade foi corrigida pela Microsoft, com a atualização de segurança lançada em 10 de janeiro de 2023. A vulnerabilidade afeta as versões do sistema operacional Windows 7,10 e 11.

‍

Exploração

Um arquivo temporário é criado no caminho de destino pelo Serviço de Backup do Windows, como garantia de que o usuário tem privilégios suficientes para ler ou gravar nos arquivos armazenados nele. Esse arquivo é excluído imediatamente após a verificação ter sido feita. Os agentes de ameaças (com contas com poucos privilégios) podem aproveitar o processo de criação temporária de arquivos para imitar o backup de arquivos em unidades/caminhos de armazenamento que podem ser acessados/modificados por eles.

Conforme explicado por 0 patch , os atores podem bloquear o arquivo temporário e, em vez disso, fornecer o link do caminho para um arquivo que não podem modificar. O exploit então prossegue com a exclusão do arquivo. Arquivos importantes do sistema e arquivos criados por usuários administradores podem ser direcionados da mesma forma. Isso pode ser aproveitado para excluir arquivos no sistema que, de outra forma, não poderiam modificar, devido ao nível de privilégio. Para evitar que condições de corrida ocorram devido ao bloqueio de threads (devido a processos de backup simultâneos), a função checkDevicePathIsWriteable () é implementada no patch.

‍

‍

Análise de código

As funções destacadas nos trechos de código são: -

• getTempFileNameW () - Depois que o ator insere suas credenciais de conta não privilegiadas para se autenticar, o Gerenciador de Backup do Windows tende a criar um arquivo temporário (no caminho de destino de armazenamento exigido pelo usuário). Esse nome de arquivo é chamado e recebido por essa função.
• Verifique se o caminho do dispositivo é gravável () - O serviço de backup garante que o caminho seja gravável para o usuário após a conclusão da autenticação.

Para evitar que condições de corrida ocorram devido ao bloqueio de threads (devido a processos de backup simultâneos), a função checkDevicePathIsWriteable () é implementada no patch.

‍

PARA ANOTAR: a função vulnerável é isWritable () chamada por queryStorageDevice (), que garante que o caminho de armazenamento seja gravável.

‍

Condição de corrida que leva ao bloqueio da rosca

Vários arquivos temporários podem ser criados ao mesmo tempo quando várias operações de backup do Windows estão ocorrendo ao mesmo tempo. Como a criação e a exclusão de arquivos temporários ocorrem uma após a outra e não há restrição no arquivo entre as duas operações, isso faz com que o invasor crie outro thread. Depois que o arquivo temporário é criado e antes da exclusão, o invasor pode obter o identificador do arquivo e criar um bloqueio para impedir que outros threads operem. Ao mesmo tempo, o arquivo é excluído e o caminho do arquivo original é definido para apontar para outros arquivos. Quando o bloqueio for liberado, outros arquivos apontados serão excluídos.

‍

Referências

• ^#Protocolo de semáforo - Wikipedia
• Vulnerabilidade de exclusão arbitrária de arquivos por micropatch no Windows Backup Service (CVE-2023-21752)
• PoC para repositório GitHub CVE 2023-21752
• Comunicado de segurança da Microsoft - CVE-2023-21752

‍

Apêndice

‍

‍

‍

‍

‍

‍