Alerta de exploração do AnyDesk: CVE-2024-12754 permite escalada de privilégios

O pesquisador de segurança Naor Hodorov publicou recentemente uma análise sobre uma vulnerabilidade descoberta no AnyDesk, um software popular de administração remota. Essa vulnerabilidade, identificada como CVE-2024-12754, pode permitir que um usuário com poucos privilégios obtenha acesso elevado e potencialmente assuma o controle total do sistema.

O problema ocorre devido a uma operação de leitura/cópia arbitrária de arquivos realizada pelo serviço do AnyDesk com permissões NT AUTHORITY\SYSTEM, que possuem os mais altos privilégios no Windows. Na prática, o serviço pode copiar qualquer arquivo para um local acessível a usuários com permissões limitadas, mantendo a propriedade e permissões originais. Isso abre a possibilidade de sobrescrever arquivos críticos do sistema.

Hodorov explica que um usuário comum pode definir uma imagem de fundo personalizada no AnyDesk, que é então copiada automaticamente pelo serviço para o diretório C:\Windows\Temp. Esse arquivo copiado mantém seu nome original e passa a ser de propriedade do NT AUTHORITY\SYSTEM. Normalmente, usuários com privilégios limitados têm restrições nesse diretório, mas ainda podem criar e modificar arquivos nele.

Essa combinação de fatores permite que um hacker crie previamente um arquivo com o mesmo nome do arquivo de destino dentro do C:\Windows\Temp. Assim, quando o serviço do AnyDesk copia a imagem de fundo, ele sobrescreve o arquivo pré-criado, concedendo ao invasor a propriedade do arquivo com privilégios de NT AUTHORITY\SYSTEM.

Hodorov demonstra como essa vulnerabilidade pode ser explorada para escalada de privilégios, visando arquivos sensíveis do sistema como SAM, SYSTEM e SECURITY, que normalmente só podem ser acessados por administradores ou pelo próprio sistema. Com o controle sobre esses arquivos, um hacker pode extrair credenciais de usuários e assumir o controle total da máquina.

A vulnerabilidade CVE-2024-12754 foi corrigida na versão v9.0.1 do AnyDesk. Os usuários são fortemente aconselhados a atualizar para a versão mais recente para se protegerem contra possíveis ataques.

Esse caso reforça a importância de identificar e mitigar riscos de segurança em softwares de administração remota. Como destaca Hodorov:

Embora essa funcionalidade pareça inofensiva, quando combinada com outras mecânicas do sistema, pode ser explorada para obter acesso não autorizado.

Para quem deseja mais detalhes técnicos, um exploit de Prova de Conceito (PoC) está disponível no GitHub. Usuários e administradores devem levar essa vulnerabilidade a sério e aplicar as correções o mais rápido possível.

Via - SOI