Una vulnerabilidad recientemente revelada en AnyDesk, un popular software de escritorio remoto, identificada como CVE-2024-12754, permite a atacantes locales explotar el manejo de imágenes de fondo de Windows para obtener acceso no autorizado a archivos confidenciales del sistema.
Esto podría potencialmente elevar sus privilegios a niveles administrativos, lo que representa una amenaza significativa para la seguridad del sistema.
La vulnerabilidad se clasificó bajo CWE-59 (Resolución de enlace incorrecta antes del acceso a archivos) y se le asignó una puntuación CVSS de 5,5 (Medio), lo que indica su potencial para causar violaciones de confidencialidad.
Se ha revelado una prueba de concepto de exploit que muestra cómo los atacantes pueden aprovechar esta vulnerabilidad.
Vulnerabilidad de escalada de privilegios locales de AnyDesk
Según el investigador de ciberseguridad Naor Hodorov, la falla radica en cómo AnyDesk procesa las imágenes de fondo del escritorio durante la inicialización de la sesión.
Cuando se inicia una sesión, AnyDesk copia el fondo de pantalla actual del escritorio en el directorio C:\Windows\Temp.
Esta operación la ejecuta el servicio AnyDesk que se ejecuta bajo la cuenta NT AUTHORITY\SYSTEM, que tiene privilegios elevados.
Los atacantes con pocos privilegios pueden manipular este proceso creando previamente archivos en el directorio C:\Windows\Temp o aprovechando enlaces simbólicos (uniones). Así es como funciona el ataque:
Cuando AnyDesk copia el fondo de pantalla del escritorio, conserva la propiedad y los permisos de la cuenta del SISTEMA. Esto hace que el archivo copiado sea inaccesible para usuarios con pocos privilegios de forma predeterminada.
Los atacantes crean una unión (un tipo de enlace simbólico) que redirige la operación de copia de archivos de AnyDesk a directorios confidenciales como \Device\HarddiskVolumeShadowCopy1\Windows\System32\CONFIG.
Esto permite a los atacantes obtener acceso a archivos críticos como SAM (Administrador de cuentas de seguridad), SYSTEM y SECURITY.
Al obtener estos archivos, los atacantes pueden extraer credenciales hash o claves de máquina utilizando herramientas como mimikatz. Esto les permite escalar privilegios y potencialmente obtener acceso administrativo.
Explotación de prueba de concepto (PoC)
Se ha lanzado un exploit PoC que demuestra cómo los atacantes pueden aprovechar esta vulnerabilidad.
El exploit implica manipular operaciones de archivos utilizando puntos de análisis en directorios de espacio de nombres del Administrador de objetos de Windows (OMNS), como \RPC Control.
Recomendación
Para abordar esta vulnerabilidad, AnyDesk lanzó un parche en la versión 9.0.1 y posteriores. Se recomienda encarecidamente a los usuarios que actualicen su software inmediatamente.
El descubrimiento de CVE-2024-12754 destaca la evolución de la sofisticación de las técnicas de escalada de privilegios locales que explotan características aparentemente inofensivas como las imágenes de fondo del escritorio.
Si bien AnyDesk ha actuado rápidamente mediante la publicación de parches, este incidente subraya la importancia de las medidas de seguridad proactivas y la vigilancia contra amenazas emergentes.
Las organizaciones deben permanecer alerta y adoptar prácticas de seguridad sólidas para mitigar vulnerabilidades similares en el futuro.
Exploit PoC lanzado para la vulnerabilidad AnyDesk explotada para obtener acceso de administrator a través de fondos de pantalla
