Các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng bảo mật trong ứng dụng Netwrix Auditor mà nếu khai thác thành công, có thể dẫn đến việc thực thi mã tùy ý trên các thiết bị bị ảnh hưởng.
“Vì dịch vụ này thường được thực thi với các đặc quyền rộng rãi trong môi trường Active Directory, kẻ tấn công có khả năng xâm phạm miền Active Directory”, Bishop Fox cho biết trong một lời khuyên được công bố trong tuần này.
Auditor là một nền tảng kiểm tra và khả năng hiển thị cho phép các tổ chức có cái nhìn tổng hợp về môi trường CNTT của họ, bao gồm Active Directory, Exchange, máy chủ tệp, SharePoint, VMware và các hệ thống khác — tất cả từ một bảng điều khiển duy nhất.
Netwrix, công ty đứng sau phần mềm này, tuyên bố có hơn 11.500 khách hàng trên hơn 100 quốc gia, chẳng hạn như Airbus, Virgin, King's College Hospital và Credissimo, trong số những người khác.
Lỗ hổng này, ảnh hưởng đến tất cả các phiên bản được hỗ trợ trước 10.5, được mô tả là quá trình giải mã đối tượng không an toàn, xảy ra khi dữ liệu không đáng tin cậy do người dùng kiểm soát được phân tích cú pháp để gây ra các cuộc tấn công thực thi mã từ xa.
Nguyên nhân gốc rễ của lỗi là một dịch vụ xóa .NET không an toàn có thể truy cập trên cổng TCP 9004 trên máy chủ Netwrix, cho phép tác nhân thực thi các lệnh tùy ý trên máy chủ.
“Vì lệnh được thực thi với các đặc quyền của NT AUTHORITY SYSTEM, việc khai thác vấn đề này sẽ cho phép kẻ tấn công xâm phạm hoàn toàn máy chủ Netwrix”, Jordan Parkin của Bishop Fox cho biết.
Các tổ chức dựa vào Auditor được khuyến nghị cập nhật phần mềm lên phiên bản mới nhất, 10.5, phát hành vào ngày 6 tháng 6, để ngăn chặn mọi rủi ro tiềm ẩn.
.
