Citrix Workspace: un nouveau vecteur d’attaque découvert

Une vulnérabilité de Citrix Workspace qui a été corrigée en Juillet s’est avérée avoir un vecteur d’attaque secondaire, qui permettrait aux cybercriminels d’élever leurs privilèges et d’exécuter à distance des commandes arbitraires sous le compte SYSTEM.

La faille de sécurité (CVE-2020-8207) se trouve dans le service de mise à jour automatique de l’application Citrix Workspace pour Windows. Cela pourrait permettre une élévation de privilèges locale ainsi qu’une compromission à distance d’un ordinateur exécutant l’application lorsque le partage de fichiers Windows (SMB) est activé, selon l’avis de Citrix.

La vulnérabilité, bien que principalement corrigée au cours de l’été, a récemment été découverte pour permettre aux attaquants d’abuser des installateurs MSI signés Citrix, selon Pen Test Partners (MSI est l’extension de nom de fichier des packages Windows Installer). Cela transforme la faille de sécurité en une vulnérabilité d’injection de ligne de commande à distance.

citrix

Le service de mise à jour s’appuyait à l’origine sur un hachage de fichier défectueux dans une charge utile JSON pour déterminer si une mise à jour devait se poursuivre ou non – permettant aux attaquants de télécharger leur propre code en exploitant le hachage faible. Pour résoudre le problème, les derniers catalogues de mise à jour sont maintenant directement téléchargés à partir des serveurs de mise à jour Citrix, et le service «fait référence aux hachages avec le fichier demandé pour l’installation à partir de l’attribut UpdateFilePath», ont écrit des chercheurs de Pen Test Partners, dans un communiqué.

«Si le fichier de mise à jour est signé, valide et que le hachage du fichier de mise à jour correspond à l’un des fichiers du manifeste, le fichier de mise à jour est exécuté pour effectuer la mise à niveau», ont-ils expliqué.

Cependant, le correctif n’a pas empêché la connectivité à distance pour limiter la surface d’attaque.

«Le catalogue contient des exécutables et des fichiers MSI pour l’installation», selon la firme. «Les fichiers MSI en revanche ne peuvent pas être exécutés de la même manière que les fichiers exécutables, par conséquent, le service de mise à jour doit les gérer différemment.»

En examinant le code de lancement du programme d’installation, les chercheurs ont constaté que l’application vérifie l’extension du fichier demandé pour la mise à jour, et si elle se termine par MSI, il est supposé être un fichier Windows Installer. Étant donné que le fichier MSI est vérifié pour trouvé une signature valide et est croisé avec le catalogue actuel, les attaquants ne peuvent pas installer directement des fichiers MSI arbitraires.

Même si les fichiers MSI sont signés et hachés pour empêcher toute modification, l’une des fonctionnalités prises en charge par Windows Installer est MSI Transforms (MST).

«Comme son nom l’indique, MSI Transforms prend en charge la modification ou la transformation de la base de données MSI d’une manière ou d’une autre avant l’installation», selon Pen Test Partners. «Les administrateurs de domaine utilisent généralement cette fonctionnalité pour transférer des fichiers MSI dans les environnements Active Directory qui ne fonctionnent pas toujours sans surveillance lorsqu’ils sont exécutés seuls. Par exemple, un MST peut être créé et injectera un code d’activation de produit avant l’installation. »

Pour appliquer un MST, les utilisateurs doivent spécifier le chemin d’accès au fichier de transformation sur la ligne de commande, qui fusionne le fichier MSI principal avec les modifications présentes dans le fichier MST pendant le processus d’installation.

C’est là que réside la faille: «Puisque nous pouvons contrôler les arguments passés à msiexec, nous pouvons inclure le chemin vers une transformation malveillante mais en utilisant un Citrix MSI officiel et signé qui est présent dans le fichier de catalogue», ont déclaré les chercheurs.

citrix

Les transformations malveillantes peuvent être générées avec un outil existant appelé Microsoft Orca ou avec un outil personnalisé. Ensuite, pour exploiter la vulnérabilité, les attaquants placeraient le programme d’installation MSI d’origine et le MST sur un partage réseau prêt pour la machine victime.

«Les méthodes d’élévation de privilèges locales et distantes ne peuvent être exploitées que lorsqu’une instance de CitrixReceiverUpdate.exe est en cours d’exécution sur l’hôte victime comme auparavant», ont conclu les chercheurs. “Je pense que le vecteur distant est plus facile à exploiter cette fois-ci, car vous pouvez placer des fichiers MSI et MST sur un partage réseau sous le contrôle de l’attaquant.”

Comment se protéger de cette faille de Citrix Workspace?

Les utilisateurs de Citrix Workspace pour Windows doivent mettre à jour leurs applications avec la dernière version, contenant un correctif révisé.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x