Eine Schwachstelle in Fortra’s Robot Schedule Enterprise Agent für Windows ermöglicht es Benutzern mit geringen Berechtigungen, ihre Privilegien bis auf Systemebene zu erhöhen.
Die Sicherheitslücke, bekannt unter der Kennung CVE-2024-0259, tritt in Versionen des Fortra’s Robot Schedule Enterprise Agent für Windows vor Version 3.04 auf. Sie ermöglicht es einem Benutzer mit geringen Privilegien, die ausführbare Datei des Dienstes durch eigene schädliche Code zu überschreiben und somit höhere Privilegien zu erlangen.
Ursache der Sicherheitslücke: Das Problem entsteht durch unzureichende Sicherung der ausführbaren Dienstdatei durch den Agenten, die ein Angreifer ausnutzen kann, indem er die legitime ausführbare Datei durch eine bösartige ersetzt.
Auswirkungen des Exploits: Beim Neustart des Dienstes wird die manipulierte ausführbare Datei mit lokalen Systemprivilegien ausgeführt, was dem Angreifer eskalierte Rechte auf dem System verleiht. Dies gibt dem Angreifer umfassende Kontrolle über das System und ermöglicht potenziell weitere Angriffe auf interne Netzwerkressourcen.
Privilegienerweiterungsschwachstelle: Ein Angreifer mit Basis-Berechtigungen kann diese Schwachstelle ausnutzen, um vollständige Kontrolle über das System zu erlangen. Die ausführbare Datei des Agentendienstes ist anfällig für Überschreibung, was die Grundlage dieser Sicherheitslücke bildet.
Diese Schwachstelle, klassifiziert unter CWE-276: Incorrect Default Permissions, unterstreicht die Bedeutung angemessener Zugriffskontrollen für ausführbare Dateien.
Lösungsansätze und Updates: Fortra hat die kritische Schwachstelle mit der Veröffentlichung von Version 3.04 am 20. März 2024 adressiert. Um das Risiko zu mindern, sollten Systemadministratoren alle betroffenen Agenten so schnell wie möglich auf Version 3.04 oder höher aktualisieren.
Die Schwachstelle hat eine hohe Ausnutzbarkeit und potenzielle Auswirkungen, was ihr einen CVSSv3.1-Score von 7.3 einbringt. Ein Angreifer mit Basis-Berechtigungen könnte diese nutzen, um eine legitime Dienst-ausführbare Datei zu überschreiben und anschließend willkürlichen Code mit Systemprivilegien auszuführen.
Fazit: Die Entdeckung dieser Schwachstelle betont erneut die kritische Notwendigkeit für Organisationen, ihre Systeme regelmäßig auf Sicherheitsupdates zu überprüfen und schnell auf die Bereitstellung von Sicherheitspatches zu reagieren, um ihre digitalen Infrastrukturen vor fortgeschrittenen Bedrohungen zu schützen.