Nessus Agent-Schwachstelle unter Windows ermöglicht beliebige Codeausführung mit SYSTEM-Rechten

Nessus Agent Vulnerability auf Windows Die Schwachstelle nutzt eine Klasse, die allgemein als „Symlink-Angriff“ oder Junction-Missbrauch bekannt ist. Auf Windows-Systemen leiten NTFS-Junctions Dateisystemoperationen anderen um.

Wenn ein privilegiertes Verfahren wie der Nessus Agent-Dienst einen Junction während einer Dateioperation ohne ordnungsgemäße Validierung verfolgt, kann es manipuliert werden, um auf unbeabsichtigte Ziele zu wirken.

In diesem Fall kann ein Angreifer mit lokalem Zugriff ein bösartiges Junction an einem Ort platzieren, mit dem der Nessus Agent-Dienst interagiert.

Durch Umleitung der Löschroutine des Agenten

Durch Umleitung der Löschroutine des Agenten auf eine kritische Systemdatei oder ein Verzeichnis kann der Angreifer die Betriebsumgebung auf kontrollierte Weise beschädigen und anschließend eine bösartige Nutzlast platzieren lassen, die unter dem SYSTEM-Kontext ausgeführt wird.

Diese Technik ist besonders gefährlich, da SYSTEM das höchste Privileg-Level unter Windows ist und sogar Standard-Administratorkonten übertrifft. Code, der als SYSTEM ausgeführt wird, kann jede Datei ändern, Rootkits installieren, Sicherheitstools deaktivieren und ohne Einschränkungen über Neustarts hinweg bestehen bleiben.

Die Schwachstelle betrifft spezifisch Nessus Agent-Installationen, die unter Windows laufen. Organisationen, die Nessus Agents auf Unternehmens-Endpunkten für kontinuierliches Schwachstellenscanning einsetzen, befinden sich direkt im Risikowindow.

Sicherheitslage und Risiko

Angesichts der Tatsache, dass Nessus Agents oft auf sensiblen Servern und Workstations installiert sind, könnten erfolgreiche Ausnutzungen katastrophale Auswirkungen auf die Sicherheitslage einer Organisation haben. Patch verfügbar Tenable hat die Schwachstelle in Nessus Agent Version 11.1.3 behoben, die nun über das Tenable Downloads Portal verfügbar ist.

Das Unternehmen fordert alle Benutzer nachdrücklich auf, sofort ein Upgrade durchzuführen und betont, dass die rechtzeitige Anwendung, um die Exposition zu reduzieren.

Tenable bekräftigte sein Engagement für die verantwortungsvolle Offenlegung und erklärte, dass es den aktiven Austausch mit Sicherheitsforschern pflegt und die schnelle Behebung.

Sicherheitslage und Risiko

Sicherheitsteams werden auch ermutigt, alle neu entdeckten Schwachstellen direkt an Tenable zu melden, um ein koordiniertes Patchen zu erleichtern. Sicherheitsadministratoren sollten dieses Update als dringende Bereitstellung behandeln, insbesondere in Umgebungen, in denen Nessus Agents auf hochkarätigen oder internetnahen Windows-Systemen installiert sind.

Der Beitrag Nessus Agent Vulnerability on Windows Enables Arbitrary Code Execution with SYSTEM Privileges erschien zuerst auf