Une faille de sécurité de haute sévérité a été divulguée dans l’agent Take Control de N-Able. Elle pourrait être exploitée par un attaquant local non privilégié afin d’obtenir des privilèges SYSTEM.
Repéré sous le nom de CVE-2023-27470, le problème concerne une vulnérabilité de la condition de course « Time-of-Check to Time-of-Use » qui, lorsqu’elle est exploitée avec succès, peut être utilisée pour supprimer des fichiers arbitraires sur un système Windows.
Selon la société de veille sur les menaces appartenant à Google, le CVE-2023-27470 résulte d’une condition de course TOCTOU dans l’agent Take Control entre l’enregistrement de plusieurs événements de suppression de fichiers et chaque action de suppression à partir d’un dossier spécifique nommé « C:ProgramDataGetSupportService N-CentralPushUpdates ».
Plus inquiétant encore, cette suppression arbitraire de fichiers pourrait être utilisée pour sécuriser une invite de commande élevée en tirant parti d’une attaque de type « race condition » ciblant la fonctionnalité de retour en arrière du programme d’installation de Windows, ce qui pourrait conduire à l’exécution de code.
« Les exploits de suppression de fichiers arbitraires ne sont plus limités aux attaques par déni de service et peuvent en effet servir de moyen d’exécution de code élevé », a déclaré M. Oliveau, ajoutant que de tels exploits peuvent être combinés avec « la fonctionnalité de retour en arrière de MSI afin d’introduire des fichiers arbitraires dans le système ».
« Un processus apparemment inoffensif d’enregistrement et de suppression d’événements dans un dossier non sécurisé peut permettre à un attaquant de créer des pseudo-liens symboliques, trompant ainsi les processus privilégiés pour qu’ils exécutent des actions sur des fichiers non désirés. »
