Shadow

La vulnerabilità Local Privilege Escalation in Windows PsExec ottiene una micropatch gratuita

 È ora disponibile una correzione gratuita per micropatch della vulnerabilità LPE di Windows PsExec. Puoi verificare lo stesso sulla piattaforma Opatch.

Lo strumento sostitutivo telnet utilizzato dagli utenti per avviare in remoto eseguibili su altri computer è stato rilevato con una vulnerabilità zero-day causata dallo squat dei tubi.

Il dirottamento del pipe consente agli aggressori di indurre psExec a riaprire un pipe dannoso e fornirgli le autorizzazioni del sistema locale. Dopo l’exploit, assumono completamente il controllo del sistema.

Il CEO di ACROS Security e co-fondatore di Opatch Mitja Kolsek spiega; “gli amministratori avviano in remoto eseguibili utilizzando PsExec (o strumenti di gestione che utilizzano PsExec) se la macchina ha già un utente malintenzionato non amministratore che cerca di elevare i propri privilegi”

David wells, ricercatore di malware sostenibile, ha scoperto questa vulnerabilità e l’ha divulgata pubblicamente il 9 dicembre 2020, dopo 90 anni, quando Microsoft ne è stata informata e lo sviluppatore del sistema operativo Windows non è riuscito a trovare la soluzione.

Bene spiega; “Questa escalation dei privilegi locali consente a un processo non amministratore di passare a SYSTEM se PsExec viene eseguito localmente o in remoto sul computer di destinazione.”

Il ricercatore conferma che lo zero-day interessa i forum delle versioni di Windows Windows XP fino a Windows 10. Inoltre, ha scoperto che l’impatto della vulnerabilità su più punti a partire dalla v1.72 rilasciata nel 2006 e termina con PsExec v2.2, l’ultimo versione rilasciata quasi quattro anni.

Il micropatch gratuito viene consegnato in una memoria per la correzione. Non richiede il riavvio del sistema. È applicabile all’ultima versione di PsExec a 32 e 64 bit. Tuttavia, potrebbe essere trasferito al vecchio PsExec: controlla il feedback degli utenti più recenti come ha twittato Kolsek.

“Questa vulnerabilità consente a un utente malintenzionato che può già eseguire codice sul computer remoto come non amministratore (ad esempio, accedendo come un normale utente di Terminal Server, o stabilendo una sessione RDP come utente di dominio, o entrando in un servizio vulnerabile senza privilegi in esecuzione sul computer remoto) per elevare i propri privilegi a Sistema locale e assumere completamente il controllo della macchina non appena qualcuno utilizza PsExec su quella macchina. Per gli utenti domestici e le piccole imprese, questa probabilmente non è una minaccia ad alta priorità, mentre per le grandi organizzazioni potrebbe essere “, ha detto Kolsek.