Los expertos en ciberseguridad han descubierto nuevas vulnerabilidades en Citrix Virtual Apps and Desktop que podrían ser aprovechadas para llevar a cabo ataques de ejecución remota de código (RCE) no autenticados.
Según el informe de watchTowr, el problema radica en el componente de grabación de sesiones, que permite a los administradores capturar la actividad del usuario, incluyendo las entradas de teclado y ratón, además de transmitir video del escritorio para fines de auditoría, cumplimiento y resolución de problemas.
La vulnerabilidad en cuestión se explota a través de “una combinación de una instancia de MSMQ mal expuesta junto con permisos incorrectamente configurados que permiten acceder a BinaryFormatter desde cualquier host a través de HTTP, posibilitando la ejecución remota de código sin necesidad de autenticación”, explicó el investigador de seguridad Sina Kheirkhah.
Los detalles de la vulnerabilidad son los siguientes:
- CVE-2024-8068 (CVSS: 5.1): Escalada de privilegios para acceder a la cuenta de NetworkService.
- CVE-2024-8069 (CVSS: 5.1): Ejecución remota de código limitada con privilegios de una cuenta de servicio de red.
Citrix ha señalado que para que un ataque sea exitoso, el atacante debe estar autenticado en el mismo dominio de Windows Active Directory que el servidor de grabación de sesiones, y también debe estar en la misma intranet que dicho servidor. Las vulnerabilidades han sido corregidas en las siguientes versiones:
- Citrix Virtual Apps and Desktops anteriores a la revisión 24.5.200.8 2407
- Citrix Virtual Apps and Desktops 1912 LTSR anteriores a la revisión CU9 19.12.9100.6
- Citrix Virtual Apps and Desktops 2203 LTSR anteriores a la revisión CU5 22.03.5100.11
- Citrix Virtual Apps and Desktops 2402 LTSR anteriores a la revisión CU1 24.02.1200.16
Por otro lado, Microsoft ha instado a los desarrolladores a dejar de usar BinaryFormatter para la deserialización, ya que este método es inseguro cuando se emplea con datos no confiables. De hecho, .NET 9 eliminará BinaryFormatter a partir de agosto de 2024.
“BinaryFormatter se implementó antes de que las vulnerabilidades de deserialización fueran una amenaza conocida”, señala Microsoft en su documentación. “Como resultado, el código no sigue las mejores prácticas modernas y puede ser vulnerable a otros tipos de ataques, como la divulgación de información o la ejecución remota de código”.
El problema está relacionado con el Administrador de almacenamiento de grabación de sesiones, un servicio de Windows que gestiona los archivos de sesiones grabadas provenientes de las computadoras con esta función habilitada.
Aunque el Administrador de almacenamiento recibe las grabaciones de sesión como bytes a través de Microsoft Message Queuing (MSMQ), el análisis reveló que se utiliza un proceso de serialización para transferir los datos. Además, la instancia de la cola tiene privilegios excesivos.
El peor de los casos es que los datos recibidos de la cola se deserializan utilizando BinaryFormatter, lo que permite a los atacantes aprovechar los permisos inseguros establecidos durante la inicialización para enviar mensajes MSMQ especialmente diseñados a través de HTTP, lo que facilita la explotación remota.
“Sabemos que existe una instancia de MSMQ con permisos mal configurados y que se utiliza la clase BinaryFormatter para realizar la deserialización”, explicó Kheirkhah, detallando cómo crear un exploit. “Lo más alarmante es que no solo se puede acceder localmente a través del puerto TCP de MSMQ, sino también desde cualquier otro host, a través de HTTP”, añadió el investigador.
“Esta combinación permite un clásico ataque de RCE no autenticado”, concluyó Kheirkhah.
Fuente: thehackernews.
