آسیب‌پذیری خطرناک (CVE-2024-12754)‌ در AnyDesk

آسیب‌پذیری افشای اطلاعات Link Following با شناسه CVE-2024-12754 و امتیاز 5.5 در AnyDesk، نقص امنیتی قابل توجهی برای سازمان‌هایی است که از برنامه AnyDesk استفاده می‌کنند! چرا که می‌تواند منجر به ارتقا سطح دسترسی محلی (LPE) شود.

AnyDesk، ابزار مدیریت از راه دور محبوبی است که میلیون ها نفر در سراسر جهان از آن استفاده می‌کنند و بر روی دستگاه‌های سازمانی و شخصی نصب می‌شود. از آنجایی که سازمان‌ها به طور فزاینده‌ای به ابزارهای دسترسی از راه دور متکی هستند، این آسیب‌پذیری به عنوان یادآوری آشکار از اهمیت ممیزی‌های امنیتی منظم و وصله به موقع است.

 آنچه که این آسیب پذیری را خطرناک می‌کند، سادگی بالقوه آن است. این آسیب‌پذیری در مدیریت تصاویر پس‌زمینه به نفوذگران محلی اجازه می‌دهد تا تصاویر پس‌زمینه ویندوز را جهت ارتقا مجوزهای دسترسی در سیستم‌های ویندوز به سلاح تبدیل کنند و اطلاعات حساس را از طریق نسخه های آسیب‌پذیر پلتفرم AnyDesk افشا کنند.

جزئیات آسیب‌پذیری

نقص امنیتی مذکور به سبب ارجاع نامناسب لینک، پیش از دسترسی به فایل رخ می‌دهد، شرایطی که تحت CWE-59 طبقه‌بندی می‌شود و در روشی است که سرویس AnyDesk تصاویر پس‌زمینه را در طول نشست‌ها از راه دور مدیریت می‌کند. در واقع هنگامی که یک نشست شروع می‌شود، AnyDesk تصویر پس زمینه کاربر را با استفاده از سطح دسترسی NT AUTHORITY\SYSTEM در دایرکتوری C:\Windows\Temp کپی می‌کند.

به طور خاص، نسخه 8.0.9.0 AnyDesk آسیب‌پذیر است و با ایجاد یک اتصال، نفوذگر می‌تواند از این ابزار برای خواندن/ کپی فایل‌های دلخواه و افشای اعتبار ذخیره‌شده که منجر به آلودگی بیشتر شود، سوء استفاده کند. سناریوی بهره‌برداری اگرچه شامل اجرای محلی با دسترسی کم است اما تاثیر شدیدی بر محرمانگی دارد.

کاربر با سطح دسترسی پایین می‌تواند ضمن دستکاری عملیات کپی فایل به فایل‌های محدود شده دسترسی یابد و نهایتا سطح دسترسی خود را ارتقا دهد. آسیب‌پذیری مذکور، هنگامی به وجود می‌آید که نفوذگر می‌تواند یک اتصال درون سیستم را برای خواندن فایل‌های دلخواه دستکاری کند. با این قابلیت، نفوذگر می‌تواند اطلاعات حساس از جمله اعتبارنامه‌های ذخیره‌ شده را افشا کند که یکپارچگی سیستم را بیشتر به خطر می‌اندازد.

راهکارهای امنیتی

یک رویکرد استراتژیک متمرکز برای به حداقل رساندن خطر اکسپلویت لازم است. به طور کلی اقدامات زیر برای رفع این آسیب‌پذیری توصیه می‌شود:

1. به روزرسانی AnyDesk: اطمینان حاصل کنید که نسخه های نصب‌ شده ابزار AnyDesk به نسخه‌ای به‌روزرسانی می‌شوند که آسیب‌پذیری موجود را برطرف می‌کند. نظارت بر اصلاحیه‌های AnyDesk برای وصله‌ در حفظ وضعیت امنیتی بسیار مهم است.
2. تشدید کنترل‌های دسترسی: سیاست‌های کنترل دسترسی را بررسی و تقویت کنید. دسترسی به نسخه های نصب‌ شده ابزار AnyDesk، اجرای کد با سطح دسترسی پایین و  دسترسی به فایل‌های پرخطر را محدود کنید.
3. نظارت بر ارتباطات سیستم : انجام ممیزی‌های کامل در مورد ایجاد و استفاده از ارتباطات در سیستم‌ها برای شناسایی هرگونه فعالیت غیرعادی که می‌تواند نشان‌دهنده تلاش‌های اکسپلویت باشد.
4. نظارت بر رفتار سیستم: راه‌حل‌های نظارت مستمر را جهت شناسایی رفتارهای غیرعادی که ممکن است بیانگر تلاش‌های اکسپلویت باشد، با استفاده از راه‌حل‌هایی که تغییرات مدیریت ارتباط یا الگوهای دسترسی به فایل را تشخیص می‌دهند، پیاده‌سازی کنید. همچنین توصیه می‌شود به طور منظم دایرکتوری C:\Windows\Temp را نظارت و ایمن‌ کنید.