Scovate tre vulnerabilità che consentivano il completo controllo di Windows

La compagnia SolarWinds è conosciuta per i suoi programmi di monitoraggio, backup e più in generale, manutenzione dei propri sistemi ma, purtroppo, i suoi software non sono certi privi di difetti, come indicato da Martin Rahmanov, ricercatore di Trustwave SpiderLabs. Già in passato il programma Orion, che viene solitamente impiegato per monitorare le attività di rete, è stato utilizzato da malintenzionati per distribuire aggiornamenti contenenti una backdoor agli utenti, e Rahmanov, in seguito alle sue verifiche, ha scoperto l’esistenza di altre due pericolose vulnerabilità in Orion e una in Serv-U FTP for Windows.

In Orion, i bug, indicati rispettivamente come CVE-2021-25274 e CVE-2021-25275, permettono di ottenere il controllo del sistema. Entrando più nello specifico, il primo deriva dall’uso non corretto di Microsoft Message Queue, uno strumento che esiste da oltre 20 anni ma che non viene più installato di default nel sistema operativo Windows. A quanto pare, sembra che utenti non autenticati possano inviare richieste tramite la porta TCP 1.801 che il Collector Service si occuperà di processare e questo potrebbe portare all’esecuzione di codice arbitrario come LocalSystem. Il secondo, invece, è causato dalla memorizzazione delle credenziali degli utenti in maniera non sicura in un file che può essere letto da chiunque. Nonostante le password vengano cifrate, Rahmanov ha trovato il modo di convertirle in un formato leggibile e questo, potenzialmente, potrebbe permettere ad un utente che si collega tramite Remote Desktop Protocol di leggere le varie credenziali presenti nel database.

Infine, la vulnerabilità CVE-2021-25276, che coinvolge l’applicazione Serv-U for Windows, è causata dall’uso di file separati per ciascun account che possono essere creati da qualsiasi utente Windows autenticato, dando modo di inserire semplicemente un utente amministratore tramite un file che sarà accettato dal programma se posizionato nella directory corretta. Nel caso foste interessati, potete scaricare le patch per Orion e Serv-U FTP dai seguenti indirizzi: Orion, Serv-U.