Se ha revelado la existencia de una vulnerabilidad en Citrix Workspace cuya explotación permitiría a los actores de amenazas escalar privilegios y ejecutar comandos arbitrarios en la cuenta SYSTEM. Identificada como CVE-2020-8207, esta falla reside en el servicio de actualización automática de Workspace para Windows.
Además de la escalada de privilegios, los hackers maliciosos también podrían comprometer un equipo que ejecute la aplicación cuando el uso compartido de archivos SMB esté habilitado, menciona el reporte de seguridad publicado por Pentest Partners y compartido con ThreatPost.
Aunque la falla fue corregida en los más recientes meses, recientemente los expertos descubrieron que los actores de amenazas aún estaban en condiciones de abusar de los instaladores MSI (la extensión del nombre de archivo de los paquetes de Windows) firmados por la compañía, lo que convierte esta falla en una vulnerabilidad de inyección de comandos remotos.
Anteriormente el servicio de actualización estaba basado en un hash de archivo defectuoso dentro de una carga útil JSON que determina si una actualización debería continuar o no, lo que permite a los actores de amenazas descargar su propio código abusando del hashing expuesto. Para prevenir esto, las actualizaciones más recientes se descargan directamente de los servidores de actualización de Citrix, haciendo una referencia cruzada con el archivo solicitado para instalar desde el atributo UpdateFilePath, menciona el reporte.
No obstante, el parche lanzado por Citrix no impide la conectividad remota para mitigar el riesgo de ataque. Al analizar el código del instalador los investigadores detectaron que la aplicación verifica la extensión de archivo solicitado para la actualización; si termina con MSI, se identifica como un Windows Installer, lo que impide instalar archivos MSI arbitrarios directamente.
Aunque estos archivos MSI cuentan con múltiples medidas de seguridad, la fusión MSI Transforms admite la alteración o transformación de la base de datos MSI antes de la instalación, lo que podría permitir la creación de un MST capaz de inyectar código antes de la activación.
Acorde a los expertos, estas transformaciones maliciosas pueden ser creadas con una herramienta llamada Microsoft Orca o usando otras herramientas personalizadas, además de que un ataque requeriría el instalador original en un recurso compartido de red listo para acceder a la máquina comprometida.
Por seguridad, se recomienda a los usuarios de Citrix Workspace que actualicen a la más reciente versión disponible para prevenir riesgos de mitigación.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad