חוקר אבטחת המידע נאור חודורוב פרסם לאחרונה ניתוח של פגיעות שהתגלתה ב- AnyDesk – תוכנה פופולרית לשליטה מרחוק. פגיעות זו עלולה לאפשר למשתמש בעל הרשאות נמוכות להשיג גישה מוגברת ואפשרות להשתלט על מערכת המחשוב. הפגיעות נובעת מפעולת קריאה / העתקה שרירותית מוגברת של קבצים שבוצעה על ידי תוכנת AnyDesk. במילים פשוטות יותר, השירות הפועל עם הרשאות המערכת הגבוהות ביותר, יכול להעתיק כל קובץ למיקום נגיש למשתמשים בעלי הרשאות נמוכות, פוטנציאל לדרוס קבצים קיימים ולשמור על הבעלות וההרשאות המקוריות.
חודורוב הסביר שמשתמש בעל הרשאות נמוכות יכול להגדיר את תמונת הרקע שלו, אשר לאחר מכן מועתקת על ידי AnyDesk לספריית C:\Windows\Temp. הקובץ שהועתק שומר על שם הקובץ המקורי והוא בבעלות NT AUTHORITY\SYSTEM. כברירת מחדל, יש למשתמשים בעלי הרשאות נמוכות גישה מוגבלת ל- C:\Windows\Temp, אך הם יכולים ליצור ולכתוב קבצים בספרייה זו. שילוב זה של גורמים מאפשר להאקר ליצור מראש קובץ עם שם זהה לקובץ היעד ב- C:\Windows\Temp. כאשר תוכנת AnyDesk מעתיקה את תמונת הרקע, היא מחליפה את הקובץ שנוצר מראש ומעניקה למעשה להאקר בעלות על הקובץ עם הרשאות NT AUTHORITY\SYSTEM.
חודורוב הדגים כיצד ניתן לנצל את הפגיעות הזו כדי להשיג הסלמה מקומית של הרשאות על ידי מיקוד קבצי מערכת רגישים כמו SAM, SYSTEM ו- SECURITY, הנגישים בדרך כלל רק למנהלי מערכת. על ידי מינוף הפגיעות כדי להשיג שליטה על קבצים אלו, יכול האקר לחלץ אישורי משתמש ולהשיג שליטה מלאה על מערכת המחשוב.
הפגיעות תוקנה בגירסת AnyDesk v9.0.1. מומלץ מאד למשתמשים לעדכן לגרסה העדכנית ביותר כדי להגן על עצמם מפני מתקפות סייבר אפשריות.
