ช่องโหว่ CVE-2024-12754 ใน AnyDesk ที่ช่วยให้สามารถยกระดับสิทธิ์และควบคุมระบบได้

1. เริ่มแรกผู้โจมตีสร้างไฟล์เป้าหมายไว้ใน C:/Windows/Temp ทำการเปลี่ยนภาพพื้นหลังเป็นไฟล์ที่ต้องการ และตั้งค่า oplock ไว้บนไฟล์ภาพพื้นหลัง
2. หลังจากนั้นทำการเชื่อมต่อ AnyDesk กับเครื่องของผู้โจมตีเพื่อ Trigger Bug หรือช่องโหว่ของ AnyDesk เองและเปลี่ยน Directory ของภาพพื้นหลังให้เป็น Junction Point ไปยัง /RPC Control โดยสร้าง Symlink จาก  /RPC Control ไปยังไฟล์เป้าหมายใน Shadow Copy เช่น ไฟล์ SAM, SYSTEM และ SECURITY
3. สุดท้ายผู้โจมตี Copy ไฟล์จาก C:/Windows/Temp ไปยังตำแหน่งที่ต้องการ และทำการดึงข้อมูล Credential พร้อมยกระดับสิทธิ์เป็น Administrator

ผลกระทบจากการโจมตี

จากช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์จากผู้ใช้ทั่วไป สามารถยกระดับสิทธิ์เป็น NT AUTHORITY/SYSTEM ซึ่งสามารถเข้าถึงไฟล์ระบบสำคัญ เช่น  SAM, SYSTEM, SECURITY และควบคุมระบบได้ทั้งหมด การโจมตีนี้อาจนำไปสู่การดึงข้อมูล Credentials ของผู้ใช้ การติดตั้งมัลแวร์ หรือการทำลายข้อมูลสำคัญในระบบได้

คำแนะนำ

• ผู้ใช้ควรอัปเดต AnyDesk เป็นเวอร์ชัน 9.0.1 หรือเวอร์ชันล่าสุดทันที เพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น
• ตรวจสอบและจำกัดสิทธิ์ของผู้ใช้ในระบบ เพื่อป้องกันไม่ให้ผู้ใช้ทั่วไปสามารถเข้าถึงไฟล์ที่มีความสำคัญ
• ใช้ซอฟต์แวร์ป้องกันมัลแวร์และตรวจสอบความปลอดภัยในระบบอย่างสม่ำเสมอ

แหล่งอ้างอิง

https://securityonline.info/anydesk-exploit-alert-cve-2024-12754-enables-privilege-escalation-poc-available/