Vulnerabilidades Zero-day en los instaladores de Windows para el software de monitoreo y gestión remota Atera podrían actuar como plataforma de lanzamiento para ataques de escalada de privilegios.
Estas fallas, descubiertas por Mandiant el 28 de febrero de 2023, han recibido las identificaciones CVE-2023-26077 y CVE-2023-26078, y fueron corregidas en las versiones 1.8.3.7 y 1.8.4.9 lanzadas por Atera el 17 de abril de 2023 y el 26 de junio de 2023, respectivamente.
"La capacidad de iniciar una operación desde el contexto NT AUTHORITY\SYSTEM puede representar riesgos potenciales de seguridad si no se administra adecuadamente", dijo el investigador de seguridad Andrew Oliveau. "Por ejemplo, las Acciones Personalizadas mal configuradas que se ejecuten como NT AUTHORITY\SYSTEM pueden ser aprovechadas por los atacantes para llevar a cabo ataques de escalada de privilegios locales".
La explotación exitosa de estas vulnerabilidades podría permitir la ejecución de código arbitrario con privilegios elevados.
Ambas vulnerabilidades residen en la funcionalidad de reparación del instalador MSI, lo que potencialmente crea un escenario en el que las operaciones se desencadenan desde el contexto NT AUTHORITY\SYSTEM, incluso si son iniciadas por un usuario estándar.
Según la empresa de inteligencia de amenazas propiedad de Google, Atera Agent es susceptible a un ataque de escalada de privilegios local que puede ser explotado mediante la técnica de "DLL hijacking" (CVE-2023-26077), lo que podría ser aprovechado para obtener un Símbolo del Sistema (Command Prompt) como usuario NT AUTHORITY\SYSTEM.
En cuanto a CVE-2023-26078, esta se refiere a la "ejecución de comandos del sistema que activan el proceso secundario Windows Console Host (conhost.exe)", lo que abre una "ventana de comandos que, si se ejecuta con privilegios elevados, puede ser aprovechada por un atacante para llevar a cabo un ataque de escalada de privilegios local".
"Las Acciones Personalizadas mal configuradas pueden ser fáciles de identificar y explotar, lo que representa riesgos de seguridad significativos para las organizaciones", dijo Oliveau. "Es esencial que los desarrolladores de software revisen minuciosamente sus Acciones Personalizadas para evitar que los atacantes secuestren las operaciones de NT AUTHORITY\SYSTEM desencadenadas por las reparaciones de MSI".
La divulgación de estas vulnerabilidades se produce mientras Kaspersky arrojó más luz sobre una falla de escalada de privilegios severa en Windows (CVE-2023-23397, puntuación CVSS: 9.8) que ha sido objeto de explotación activa en la naturaleza por actores de amenazas que utilizan una tarea de Outlook especialmente diseñada, un mensaje o evento de calendario.
Aunque Microsoft ya había revelado previamente que grupos estatales rusos habían utilizado esta falla desde abril de 2022, la evidencia recopilada por el proveedor de antivirus ha revelado que intentos reales de explotación fueron realizados por un atacante desconocido que tenía como objetivo entidades gubernamentales e infraestructuras críticas en Jordania, Polonia, Rumanía, Turquía y Ucrania un mes antes de la divulgación pública.
%2014.04.55.png)
![](https://www.pinterest.com/pin/create/button/?url=https://seguridad-firewall.blogspot.com/2023/07/descubiertas-vulnerabilidades-en.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxawrImPrNt6uT1KSVeW66YiBhUMFT4-3flt1pkQRmMz1oJ9V9Ff7mcTwIILBvJbra_M918qbqTzG9jv0oYyVSgiNJcHKUmNMMTFay3_fQMXvFsQboj-RWk_m5JshdLAdetSfV-shL9jM_ES5wGGFOaUVs8DeBE6Ww1jA3eyuo7bwJHr33pa2j35TKCvkG/w640-h350/sideloading9.png&description="Descubiertas Vulnerabilidades en Instaladores de Windows para Atera, Permitiendo Posibles Ataques de Escalada de Privilegios"){kind=link}