Wazuh is a free and open source platform used for threat prevention, detection, and response. It is capable of protecting workloads across on-premises, virtualized, containerized, and cloud-based environments. The wazuh-agent for Windows is vulnerable to a Local Privilege Escalation vulnerability due to improper ACL of the non-default installation directory. A local malicious user could potentially exploit this vulnerability by placing one of the many DLL that are loaded and not present on the system in the installation folder of the agent OR by replacing the service executable binary itself with a malicious one. The root cause is an improper ACL applied on the installation folder when a non-default installation path is specified (e.g,: C:wazuh). Many DLLs are loaded from the installation folder and by creating a malicious DLLs that exports the functions of a legit one (and that is not found on the system where the agent is installed, such as rsync.dll) it is possible to escalate privileges from a low-privileged user and obtain code execution under the context of NT AUTHORITYSYSTEM. This issue has been addressed in version 4.9.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
1. Mô tả CVE : CVE-2024-35177
– Wazuh là một nền tảng mã nguồn mở miễn phí được sử dụng để ngăn chặn, phát hiện và phản ứng với các mối đe dọa. Nó có khả năng bảo vệ các khối lượng công việc trên các môi trường tại chỗ, ảo hóa, container hóa và dựa trên đám mây. Wazuh-agent cho Windows bị tổn thương bởi một lỗ hổng leo thang đặc quyền cục bộ do ACL không đúng của thư mục cài đặt không mặc định. Một người dùng độc hại cục bộ có thể khai thác lỗ hổng này bằng cách đặt một trong nhiều DLL được tải và không có trên hệ thống vào thư mục cài đặt của agent HOẶC bằng cách thay thế nhị phân thực thi dịch vụ bằng một nhị phân độc hại. Nguyên nhân gốc rễ là một ACL không đúng được áp dụng trên thư mục cài đặt khi một đường dẫn cài đặt không mặc định được chỉ định (ví dụ: C:wazuh). Nhiều DLL được tải từ thư mục cài đặt, và bằng cách tạo ra các DLL độc hại xuất khẩu các chức năng của một DLL hợp pháp (và không có trên hệ thống nơi agent được cài đặt, chẳng hạn như rsync.dll), có thể leo thang đặc quyền từ người dùng có quyền thấp và đạt được việc thực thi mã dưới ngữ cảnh của NT AUTHORITYSYSTEM. Vấn đề này đã được khắc phục trong phiên bản 4.9.0 và tất cả người dùng được khuyên nên nâng cấp. Không có biện pháp khắc phục nào được biết đến cho lỗ hổng này.
– Vendor – Product – Version bị ảnh hưởng : Wazuh – Wazuh Agent – Các phiên bản trước 4.9.0
2. Phân tích kỹ thuật tấn công :
– Dựa trên CVE và MITRE ATT&CK, có thể xác định một số kỹ thuật tấn công có thể khai thác lỗ hổng này.
Các kỹ thuật MITRE ATT&CK liên quan :
1. T1153 – Source
2. T1053.002 – Scheduled Task/Job: Scheduled Task
3. T1203 – Exploitation for Client Execution
3. Tác động tiềm tàng :
– Nếu CVE này bị khai thác thành công, các tác động tiềm tàng có thể bao gồm:
– Leo thang đặc quyền, cho phép kẻ tấn công thực hiện các lệnh với quyền truy cập cao hơn (NT AUTHORITYSYSTEM).
– Thực thi mã độc hại có thể dẫn đến đánh cắp dữ liệu nhạy cảm hoặc thông tin cá nhân.
– Tê liệt hệ thống hoặc dịch vụ, gây gián đoạn cho các hoạt động của tổ chức.
– Cài đặt các phần mềm độc hại khác hoặc backdoor, mở ra các cuộc tấn công trong tương lai.
4. Các biện pháp giảm thiểu :
– Các bước giảm thiểu cụ thể bao gồm:
• Cập nhật phần mềm Wazuh lên phiên bản 4.9.0 hoặc mới hơn để vá lỗ hổng.
• Tăng cường cấu hình bảo mật, chẳng hạn như áp dụng xác thực đa yếu tố và hạn chế quyền truy cập vào thư mục cài đặt.
• Sử dụng các công cụ bảo mật như phần mềm diệt virus và hệ thống phát hiện xâm nhập để phát hiện và ngăn chặn các hành động độc hại.
• Triển khai các phương pháp giám sát và báo cáo, bao gồm ghi nhật ký hoạt động của hệ thống và thiết lập các cảnh báo cho các hoạt động bất thường.