AnyDesk è un software di accesso remoto molto popolare utilizzato da milioni di utenti in tutto il mondo. Tuttavia, come molti strumenti di accesso remoto, anche AnyDesk non è immune alle vulnerabilità di sicurezza. Una recente vulnerabilità identificata come CVE-2024-12754 ha messo in luce i rischi di escalation di privilegi (LPE) che possono essere sfruttati dagli attaccanti per ottenere accesso amministrativo ai sistemi Windows. In questo articolo, esploreremo la vulnerabilità, le sue conseguenze e forniremo suggerimenti e consigli per proteggere i tuoi sistemi.
Una Vulnerabilità Critica in AnyDesk
La vulnerabilità identificata da Naor Hodorov, un ricercatore di sicurezza, consiste nel modo in cui AnyDesk gestisce le immagini di sfondo durante le sessioni remote. Specificamente, quando una sessione viene iniziata, AnyDesk copia l’immagine di sfondo dell’utente nella directory C:\Windows\Temp utilizzando privilegi di sistema (NT AUTHORITY\SYSTEM)[3].
Come Funziona la Vulnerabilità
La vulnerabilità si basa sulla manipolazione di questo file-copy operation per ottenere accesso a file sensibili. Ecco i passaggi necessari per sfruttare questa vulnerabilità:
- Pre-Creazione di File Target: L’attaccante crea un file nella directory
C:\Windows\Tempcon lo stesso nome dell’immagine di sfondo. - Triggering AnyDesk’s File Copy Mechanism: L’attaccante imposta l’immagine di sfondo del desktop a quel file e stabilisce una connessione con il proprio ID di AnyDesk. Questo attiva il meccanismo di copia del file come
NT AUTHORITY\SYSTEM. - Manipolazione della Proprietà dei File: Utilizzando punti di ripristino directory e collegamenti simbolici, l’attaccante reindirizza l’operazione di copia di AnyDesk verso file sensibili come
SAM,SYSTEM, eSECURITYfiles presenti nelle copie ombra (utilizzate per i punti di ripristino)[3].
Conseguenze della Vulnerabilità
La vulnerabilità è particolarmente pericolosa perché permette agli attaccanti di ottenere accesso amministrativo ai sistemi Windows. Questo può essere fatto leggendo i file sensibili e ottenendo le hash e le credenziali degli amministratori locali e degli utenti cached. In pratica, questo significa che gli attaccanti possono ottenere i diritti amministrativi sul sistema[3].
Suggerimenti e Consigli per la Protezione
Per evitare l’escalation di privilegi causata da questa vulnerabilità, è fondamentale adottare alcune misure di sicurezza:
1. Restringere l’Accesso a AnyDesk
- High-Value Systems: Limitare l’accesso a AnyDesk su sistemi di alta valenza, come quelli utilizzati per la gestione dei dati sensibili o per le operazioni critiche.
- User Access Control: Utilizzare il controllo degli accessi degli utenti (UAC) per limitare le azioni che possono essere eseguite senza autorizzazione elevata.
2. Monitorare e Sicurezza della Directory Temp
- Regolare Monitoraggio: Monitorare regolarmente la directory
C:\Windows\Tempper identificare eventuali file sospetti. - Sicurezza della Directory: Assicurarsi che la directory
C:\Windows\Tempsia protetta con permessi di accesso limitati e che non ci siano file sensibili memorizzati lì.
3. Disabilitare le Copie Ombra
- Volume Shadow Copies: Se non sono necessarie, disabilitare le copie ombra (Volume Shadow Copies) per ridurre il rischio di accesso a file sensibili.
4. Aggiornare AnyDesk
- Versione Sicura: Aggiornare AnyDesk alla versione più recente, che è stata firmata con certificati attendibili e non più compromessi.
- Patch di Sicurezza: Attendere le patch di sicurezza rilasciate da AnyDesk Software GmbH per risolvere la vulnerabilità.
5. Consigli Generali
- Password Sicure: Cambiare manualmente le password relative all’app e ai servizi digitali degli utenti.
- Procedure di Sicurezza: Adottare procedure di sicurezza robuste, come l’uso di protocolli di crittografia avanzati e la gestione proattiva delle vulnerabilità.
La vulnerabilità identificata in AnyDesk serve come un chiaro promemoria della necessità di proteggere ogni livello dell’infrastruttura di accesso remoto. Adottando le misure di sicurezza suggerite, è possibile ridurre significativamente il rischio di escalation di privilegi e mantenere la sicurezza dei tuoi sistemi. Continuare a monitorare le vulnerabilità e adottare le patch di sicurezza rilasciate è fondamentale per garantire la stabilità e la sicurezza dei tuoi ambienti di lavoro.
Fonte: https://gbhackers.com/anydesk-flaw-allows-admin-access
