ارتقای دسترسی هکرها در SplashTop به دلیل پوشه‌های ناامن

تعدادی آسیب‌پذیری با شدت بالا در نرم‌افزار SplashTop شناسایی شده‌است که برای مقابله با آنها باید اعمال به‌روزرسانی در نسخه‌های آسیب‌پذیر را در دستور کار قرار داد.

به گزارش افتانا، چند آسیب‌پذیری با شدت بالا در نصب‌کننده نرم‌افزار SplashTop کشف شده‌اند. این آسیب‌پذیری‌ها به دلیل استفاده این نصب‌کننده از پوشه‌ای موقت با دسترسی‌های ضعیف برای ذخیره و بارگذاری فایل‌ها ایجاد شده‌اند و امکان ارتقای سطح دسترسی مهاجم به سطح SYSTEM را فراهم می‌کنند. این نرم‌افزار در دسته نرم‌افزارهای مدیریت و کنترل سیستم از راه دور قرار دارد که از نسخه Personal آن می‌توان برای دسترسی به سیستم‌های موجود در شبکه‌های محلی خانگی (Local) استفاده کرد.

با ارتقای سطح دسترسی به SYSTEM، مهاجم می‌تواند به تمام فایل‌ها و تنظیمات سیستمی دسترسی پیدا کند. این دسترسی کامل، شامل دسترسی به اطلاعات حساس و قابلیت‌های مدیریت سیستم نیز می‌شود. همچنین می‌تواند کد دلخواه خود را با سطح دسترسی SYSTEM اجرا کند. این به معنای امکان نصب بدافزار، تغییرات مخرب در تنظیمات سیستم، و یا بهره‌برداری از سیستم برای اهداف دیگر است. به علاوه، قادر خواهد بود تغییراتی در رجیستری ویندوز ایجاد کند یا با اجرای کدهای دلخواه باعث آسیب زدن به سیستم‌عامل، داده‌ها، و عملکرد کلی سیستم شود.

رجیستری ویندوز (Windows Registry) یک پایگاه داده‌ی سلسله ‌مراتبی و متمرکز است که تنظیمات پیکربندی و اطلاعات حیاتی برای سیستم‌عامل ویندوز و نرم‌افزارهای نصب‌شده روی آن را ذخیره می‌کند. این پایگاه داده به عنوان یک هسته مرکزی برای مدیریت تنظیمات سیستم‌عامل، دستگاه‌های سخت‌افزاری، برنامه‌ها و کاربران عمل می‌کند.

هرگونه تغییر نادرست در رجیستری می‌تواند منجر به ناپایداری سیستم، خطاهای اجرایی، اجرای نامناسب نرم‌افزارها یا حتی ناتوانی در راه‌اندازی سیستم‌عامل شود. مهاجمان می‌توانند از رجیستری برای نصب بدافزار، تغییر تنظیمات امنیتی، و ایجاد دسترسی‌های غیرمجاز استفاده کنند. برای مثال، تنظیمات Startup در رجیستری می‌توانند برای اجرای برنامه‌های مخرب در هر بار راه‌اندازی سیستم استفاده شوند. در ادامه، توضیحات 4 مورد آسیب‌پذیری ذکر شده آورده شده است.

آسیب‌پذیری CVE-2024-42050 با شدت بالا و امتیاز CVSS 7.0 ارزیابی شده‌ است. همانطور که گفته شد، در فرایند نصب نرم‌افزار، نصب‌کننده MSI از پوشه‌ای موقت با دسترسی‌های ضعیف برای ذخیره و بارگذاری فایل‌ها استفاده می‌کند. این پوشه‌ی موقت معمولاً در دایرکتوری %TEMP% قرار دارد و کاربران می‌توانند به آن دسترسی پیدا کنند و فایل‌هایی را در این پوشه قرار داده یا تغییر دهند.

در طی نصب، فایل CredProvider_Inst.reg از این پوشه‌ی موقت بارگذاری می‌شود. این فایل REG می‌تواند مقادیر و کلیدهای جدیدی را به رجیستری ویندوز اضافه کند. اگر فایل MSI نصب‌کننده هنوز در مکان اصلی خود موجود باشد یا مهاجم بتواند فایل را دوباره به آن مکان بازگرداند، می‌تواند فرآیند نصب را دوباره اجرا کند. در این صورت، موفق خواهد شد با تنظیم قفل‌های موقت (oplocks) روی فایل CredProvider_Inst.reg، آن را با محتوای دلخواه تغییر دهد.

Oplock (Opportunistic Lock) مکانیزمی برای بهبود عملکرد سیستم‌های فایل در سیستم‌عامل‌های ویندوز است. این مکانیزم به برنامه‌ها اجازه می‌دهد تا با قرار دادن قفل‌هایی موقت روی فایل‌ها از تغییرات همزمان توسط سایر برنامه‌ها جلوگیری کرده و در نتیجه عملکرد بهتری داشته باشند. مهاجمان می‌توانند با بهره‌برداری از ویژگی Oplock فایل‌های حساس را در مسیرهای موقتی جایگزین کنند. این کار امکان اینکه آن‌ها کد دلخواه خود را در سطح سیستمی اجرا کنند را فراهم می‌کند. علی الخصوص در فرآیندهای نصب نرم‌افزار که از پوشه‌های موقت استفاده می‌کنند، اگر مهاجم بتواند با تنظیم Oplock روی فایل‌های مورد نظر، آن‌ها را تغییر دهد، می‌تواند به ارتقاء سطح دسترسی یا اجرای کد دلخواه در سطح بالاتری برسد.

نصب‌کننده MSI فایل CredProvider_Inst.reg تغییر یافته را بارگذاری کرده و آن را به رجیستری اضافه می‌کند. اگر مهاجم بتواند محتوای این فایل REG را به‌گونه‌ای تغییر دهد که به طور غیرمستقیم به اجرای کد دلخواه منجر شود (مثلاً با تغییر مسیر اجرای برنامه‌های سیستمی)، می‌تواند سطح دسترسی SYSTEM را برای خود فراهم سازد.

آسیب‌پذیری CVE-2024-42051با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است. در این مورد، در فرآیند نصب، فایل InstRegExp.reg از پوشه موقتی که در دایرکتوری %TEMP% قرار دارد بارگذاری شده و به رجیستری ویندوز اضافه می‌شود. مهاجم می‌تواند فایل SetupUtil.exe را که جزء اصلی فرایند نصب است از پوشه موقت حذف کرده و به ‌جای آن یک فایل .reg با همان نام قرار دهد. در این حالت، نصب‌کننده با نگاه به پوشه موقت، فایل .reg تغییر یافته را بارگذاری می‌کند. با این کار، مهاجم خواهد توانست محتوای فایل InstRegExp.reg را به‌گونه‌ای تغییر دهد که مقادیر یا کلیدهای دلخواه را به رجیستری اضافه کند تا به اجرای کد دلخواهش در سیستم منجر شود یا به تغییر مسیر اجرای برنامه‌های سیستم کمک کند.

در آسیب‌پذیری CVE-2024-42052 نیز که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است، در طی فرآیند نصب splashtop ، اگر فایل اجرایی wevtutil.exe در مسیر صحیح وجود نداشته باشد، نصب‌کننده تلاش می‌کند این فایل را از پوشه موقت %TEMP% بارگذاری کند. مهاجم می‌تواند از این موضوع بهره‌برداری کرده و یک فایل اجرایی مخرب با نام wevtutil.exe را در پوشه موقت قرار دهد. نصب‌کننده MSI این فایل مخرب را با دسترسی سیستمی (SYSTEM) اجرا می‌کند و امکان کنترل سیستم و اجرای کدهای دلخواه را برای مهاجم فراهم می‌آورد.

در آسیب‌پذیری CVE-2024-42053 که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است، مهاجم می‌تواند در طی فرایند نصب، از طریق نصب‌کننده یک فایل DLL به نام version.dll را در صورتی که در پوشه‌ی موقت موجود باشد، بارگذاری کند. وقتی بارگذاری با موفقیت انجام شود، کد مخرب موجود در فایل DLL با سطح دسترسی SYSTEM اجرا می‌شود و امنیت سیستم را به خطر می‌اندازد.

در شناسه CVE-2024-42050 نسخه‌های قبل از 3.7.0.0 آسیب‌پذیر هستند. در شناسه CVE-2024-42051 نسخه‌های قبل از 3.6.2.0 آسیب‌پذیر هستند. در شناسه CVE-2024-42052 نسخه‌های قبل از 3.5.8.0 آسیب‌پذیر هستند و در شناسه CVE-2024-42053 نسخه‌های قبل از 3.6.0.0 آسیب‌پذیر هستند.

برای کاهش خطر این آسیب‌پذیری‌ها، در ابتدا توصیه می‌شود نرم‌افزار به آخرین نسخه‌ موجود به‌روزرسانی شود. همچنین محدودسازی دسترسی کاربران به پوشه‌های موقتی مانند %TEMP% جهت جلوگیری از قابلیت ایجاد تغییر در آن‌ها توصیه می‌شود. ضمن ارائه‌یحداقل سطح دسترسی به هر نرم‌افزار، باید در فرایند نصب دقت شود که فایل مشکوکی در پوشه‌های نصب موجود نباشد. به این منظور می‌توان از نرم‌افزارهای امنیتی و ابزارهای بررسی و اسکن خودکار بدافزار نیز‌ استفاده کرد.