ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

116

اکسپلویت, امنیت, روز صفر, هک

داغ

سوءاستفاده از آسیب‌پذیری AnyDesk (CVE-2024-12754) برای دسترسی به سطح مدیر

121نمایش

یک آسیب‌پذیری جدید در نرم‌افزار محبوب AnyDesk، که برای اتصال از راه دور به سیستم‌ها استفاده می‌شود، نگرانی‌های جدی امنیت سایبری را برانگیخته است.

این آسیب‌پذیری با شناسه CVE-2024-12754 و شماره پیگیری ZDI-24-1711 شناسایی شده است و به مهاجمان محلی اجازه می‌دهد با سوءاستفاده از یک مکانیزم مدیریت تصاویر پس‌زمینه در ویندوز، سطح دسترسی خود را به سطح مدیر (Admin) افزایش دهند.

این نقص امنیتی تحت دسته‌بندی CWE-59 (Path Traversal) قرار گرفته و دارای امتیاز CVSS برابر با ۵.۵ (متوسط) است.
🔹 طبق گزارش Cyber Security News، محقق امنیتی Naor Hodorov این آسیب‌پذیری را کشف کرده است.
🔹 مسئله در نحوه پردازش و کپی کردن تصاویر پس‌زمینه دسکتاپ هنگام شروع جلسه AnyDesk قرار دارد.

هنگام برقراری یک جلسه AnyDesk:
✅ تصویر پس‌زمینه فعلی ویندوز در مسیر *C:\Windows\Temp* ذخیره می‌شود.
✅ این عملیات توسط سرویس AnyDesk تحت حساب کاربری NT AUTHORITY\SYSTEM اجرا می‌شود، که سطح دسترسی بالایی دارد.

این فرآیند به مهاجمان اجازه می‌دهد با دستکاری مکانیسم کپی فایل، فایل‌های دلخواه را خوانده یا کپی کنند.

نحوه بهره‌برداری از این آسیب‌پذیری

💡 روش سوءاستفاده از این نقص امنیتی در گیت‌هاب منتشر شده است. مراحل اصلی حمله شامل موارد زیر است:

۱️⃣ مدیریت مجوزها و مالکیت فایل

  • AnyDesk پس از کپی کردن تصویر پس‌زمینه، مالکیت و مجوزهای دسترسی فایل جدید را از حساب SYSTEM به ارث می‌برد.
  • کاربران سطح پایین به‌طور پیش‌فرض نمی‌توانند به فایل‌های موجود در مسیر *C:\Windows\Temp* دسترسی داشته باشند.

۲️⃣ پیش‌ساختن فایل (Pre-Creation Attack)

  • مهاجم می‌تواند یک فایل با نام مشابه فایل پس‌زمینه در مسیر C:\Windows\Temp\ ایجاد کند.
  • وقتی آسیب‌پذیری فعال شود، AnyDesk داده‌های تصویر را در این فایل بازنویسی می‌کند، اما مالکیت و مجوزهای اصلی آن باقی می‌ماند.

۳️⃣ **حمله از طریق Directory Junction

  • مهاجمان می‌توانند یک لینک نمادین (Symbolic Link) به مسیرهای حساس سیستم، مانند \Device\HarddiskVolumeShadowCopy1\Windows\System32\CONFIG ایجاد کنند.
  • این کار باعث می‌شود که عملیات کپی فایل AnyDesk به فایل‌های محافظت‌شده‌ای مانند SAM، SYSTEM و SECURITY هدایت شود.
  • این فایل‌ها نقش حیاتی در سیستم احراز هویت ویندوز دارند.

🚨 دسترسی به این فایل‌ها به مهاجمان امکان می‌دهد هش‌های گذرواژه و کلیدهای امنیتی ماشین را استخراج کرده و به سطح دسترسی مدیر (Admin) دست یابند.

خطرات ناشی از این آسیب‌پذیری

📌 هرچند بهره‌برداری از این آسیب‌پذیری نیازمند دسترسی محلی و سطح دسترسی پایین است، اما پیامدهای آن بسیار جدی است.

🔹 مهاجمان می‌توانند از این نقص برای سرقت اعتبارنامه‌ها، دسترسی غیرمجاز به داده‌های حساس و حتی کنترل کامل سیستم استفاده کنند.
🔹 PoC این حمله در دسترس عموم قرار گرفته، که خطر بهره‌برداری از آن را افزایش می‌دهد.

اقدامات امنیتی و راهکارهای مقابله

AnyDesk نسخه ۹.۰.۱ را منتشر کرده که این آسیب‌پذیری را اصلاح می‌کند.
کاربران و سازمان‌ها باید فوراً به این نسخه به‌روزرسانی کنند تا از خطر سوءاستفاده جلوگیری کنند.

📌 کشف آسیب‌پذیری CVE-2024-12754 نشان‌دهنده پیچیدگی فزاینده روش‌های افزایش سطح دسترسی محلی (LPE) است.
📌 این رخداد تأکید می‌کند که حتی قابلیت‌هایی که بی‌ضرر به نظر می‌رسند، مانند مدیریت تصاویر پس‌زمینه، می‌توانند به روش‌هایی غیرمنتظره مورد سوءاستفاده قرار گیرند.
📌 سازمان‌ها و توسعه‌دهندگان باید تمامی فرآیندهای داخلی نرم‌افزارها را برای نقص‌های امنیتی احتمالی بررسی کنند.

🚨 انتشار کد PoC این آسیب‌پذیری فوریت اعمال به‌روزرسانی را افزایش داده است. کاربران باید همیشه نسبت به تهدیدات جدید هوشیار باشند و اقدامات امنیتی مناسبی را اجرا کنند.

, , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

116

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت