Novo vetor de ataque do Citrix Workspace
Os arquivos MSI do Windows fornecem uma abertura para os invasores, embora o bug tenha sido corrigido principalmente em julho.
Descobriu-se que uma vulnerabilidade do Citrix Workspace corrigida em julho tinha um vetor de ataque secundário, que permitiria aos cibercriminosos elevar privilégios e executar remotamente comandos arbitrários na conta SYSTEM.
O bug (CVE-2020-8207) existe no serviço de atualização automática do aplicativo Citrix Workspace para Windows. Ele pode permitir o escalonamento de privilégios local, bem como o comprometimento remoto de um computador que executa o aplicativo quando o compartilhamento de arquivos do Windows (SMB) está ativado, de acordo com o comunicado da Citrix .
O bug, embora a maior parte corrigido no verão, foi descoberto recentemente que ainda permite que invasores abusem dos instaladores MSI assinados pela Citrix, de acordo com Pen Test Partners (MSI é a extensão de nome de arquivo dos pacotes do Windows Installer). Isso transforma o bug em uma vulnerabilidade de injeção de linha de comando remota.
O serviço de atualização originalmente dependia de um hash de arquivo defeituoso dentro de uma carga JSON para determinar se uma atualização deveria prosseguir ou não – permitindo que os invasores baixassem seu próprio código explorando o hash fraco. Para corrigir o problema, os catálogos de atualização mais recentes agora são baixados diretamente dos servidores de atualização Citrix, e o serviço “cruza as referências dos hashes com o arquivo que é solicitado para instalação do atributo UpdateFilePath”, escreveram pesquisadores da Pen Test Partners, em uma postagem de segunda-feira .
“Se o arquivo de atualização for assinado, válido e o hash do arquivo de atualização corresponder a um dos arquivos do manifesto, o arquivo de atualização é executado para realizar a atualização”, explicaram.
No entanto, o patch não impediu a conectividade remota para limitar a superfície de ataque.
“O catálogo inclui executáveis e arquivos MSI para instalação”, informa a empresa. “Os arquivos MSI, por outro lado, não podem ser executados da mesma forma que os arquivos executáveis, portanto, o serviço de atualização deve lidar com eles de maneira diferente.”
Observando o código de inicialização do instalador, os pesquisadores descobriram que o aplicativo verifica a extensão do arquivo solicitado para atualização e, se terminar com MSI, é considerado um arquivo do Windows Installer. Como o arquivo MSI é verificado quanto a uma assinatura válida e tem referência cruzada com o catálogo atual, os invasores não podem instalar diretamente arquivos MSI arbitrários.
Embora os arquivos MSI sejam assinados e hash para evitar modificações, um dos recursos com suporte do Windows Installer é o MSI Transforms (MST).
“Como o nome sugere, o MSI Transforms suporta a alteração ou transformação do banco de dados MSI de alguma forma antes da instalação”, de acordo com Pen Test Partners. “Os administradores de domínio normalmente usam esse recurso para enviar arquivos MSI em ambientes Active Directory que nem sempre funcionam de forma autônoma quando executados por conta própria. Por exemplo, um MST pode ser criado para injetar um código de ativação do produto antes da instalação. ”
Para aplicar um MST, os usuários especificariam o caminho para o arquivo de transformação na linha de comando, que mescla o arquivo MSI principal com as alterações que estão presentes no arquivo MST durante o processo de instalação.
Aí está o bug: “Já que podemos controlar os argumentos passados para msiexec, podemos incluir o caminho para um Transform malicioso, mas usando um Citrix MSI oficial assinado que está presente no arquivo de catálogo”, disseram os pesquisadores.
As transformações maliciosas podem ser geradas com uma ferramenta existente chamada Microsoft Orca , eles adicionaram, ou com uma ferramenta personalizada. Em seguida, para explorar a vulnerabilidade, os invasores colocariam o instalador MSI original e o MST em um compartilhamento de rede pronto para a máquina vítima.
“Os métodos de escalonamento de privilégios locais e remotos só podem ser explorados enquanto uma instância de CitrixReceiverUpdate.exe estiver em execução no host da vítima como antes”, concluíram os pesquisadores. “Acho que o vetor remoto é mais fácil de explorar desta vez, pois você pode colocar arquivos MSI e MST em um compartilhamento de rede sob o controle do invasor.”
Os usuários do Citrix Workspace para Windows devem atualizar seus aplicativos para a versão mais recente , contendo um patch revisado.
Fonte: https://threatpost.com/citrix-workspace-new-attack/159459/