Vulnerabilità scoperta in AnyDesk: difetto di sicurezza

Una nuova vulnerabilità scoperta in AnyDesk ha messo in allerta esperti di cybersecurity e amministratori di sistema. Questo difetto di sicurezza, identificato come CVE-2024-12754, consente a un utente locale di accedere a file di sistema sensibili e potenzialmente ottenere privilegi amministrativi, sfruttando il meccanismo di gestione delle immagini di sfondo di Windows.

La falla, catalogata come CWE-59, ha ricevuto un punteggio di 5.5 sulla scala CVSS, indicando un livello di rischio moderato ma con implicazioni significative per la sicurezza aziendale. Questo exploit sfrutta una debolezza nella gestione dei file temporanei da parte di AnyDesk, permettendo di manipolare i dati e accedere a informazioni critiche.

Come funziona la vulnerabilità scoperta in AnyDesk?

Il problema nasce dalla modalità con cui AnyDesk gestisce le immagini di sfondo quando viene stabilita una sessione remota. Per impostazione predefinita, il software salva lo sfondo corrente del desktop nella cartella C:\Windows\Temp\, utilizzando i permessi di NT AUTHORITY\SYSTEM, uno dei più alti livelli di autorizzazione in Windows.

Questa procedura, apparentemente innocua, può essere sfruttata per ottenere il controllo su file critici, poiché un utente con privilegi limitati può modificare il flusso di copia e accedere a dati normalmente protetti.

Meccanismo di attacco

1. Copia dello sfondo: AnyDesk trasferisce l’immagine del desktop in C:\Windows\Temp\, un’operazione eseguita con permessi elevati.
2. Modifica dell’operazione: Un attaccante può creare un file con lo stesso nome nella cartella temporanea, reindirizzando il processo per accedere a file di sistema riservati.
3. Accesso ai dati protetti: Utilizzando collegamenti simbolici (junctions), è possibile dirottare il flusso di copia verso directory critiche come:
   • SAM (archivio delle credenziali)
   • SYSTEM (configurazioni chiave del sistema)
   • SECURITY (dati sensibili legati all’accesso)

Questa tecnica permette di estrarre hash delle password amministrative e accedere senza autorizzazione all’intero sistema.

Escalation dei privilegi tramite la vulnerabilità scoperta in AnyDesk

Un attaccante con accesso locale può sfruttare questa falla attraverso una sequenza precisa di azioni:

1. Preparazione
   
   • Creazione di un file con lo stesso nome dell’immagine di sfondo in C:\Windows\Temp\.
   • Configurazione di una junction per reindirizzare il flusso di copia verso file protetti.
2. Attivazione dell’exploit
   
   • Avvio di una sessione AnyDesk per forzare la copia dell’immagine, innescando il processo.
   • Poiché l’operazione viene eseguita con permessi di sistema, il file di destinazione eredita questi privilegi elevati.
3. Accesso ai file critici
   
   • I dati ottenuti possono essere decifrati e utilizzati per ottenere credenziali amministrative.
   • Gli hash delle password possono essere analizzati per accedere al sistema senza restrizioni.

Conseguenze della vulnerabilità scoperta in AnyDesk

Anche se per sfruttare questa vulnerabilità è necessario un accesso fisico o locale, il suo impatto può essere devastante. Un attaccante interno o un malware potrebbe utilizzare questa tecnica per:

• Prendere il controllo completo del sistema, con privilegi di amministratore.
• Rubare credenziali sensibili, compromettendo la sicurezza aziendale.
• Installare backdoor permanenti, permettendo accessi futuri non autorizzati. Scoperta una nuova minaccia in ambito di sicurezza informatica: una backdoor che manipola i file e mette a rischio i sistemi aziendali.

Come proteggersi dalla vulnerabilità scoperta in AnyDesk

Per ridurre il rischio associato a questa falla, è fondamentale adottare misure di sicurezza adeguate.

1. Aggiornare AnyDesk alla versione 9.0.1 o superiore

Gli sviluppatori di AnyDesk hanno rilasciato una patch per correggere il problema. L’aggiornamento immediato del software è la soluzione più efficace per neutralizzare l’exploit.

2. Limitare i permessi degli utenti locali

Per impedire l’abuso di questa vulnerabilità, è consigliato:

• Bloccare la modifica dei file nella cartella C:\Windows\Temp\.
• Monitorare l’utilizzo di junctions e collegamenti simbolici per identificare attività sospette.

3. Implementare strumenti di monitoraggio delle anomalie

Utilizzare software avanzati di rilevamento delle minacce per individuare attività anomale sui file di sistema. Strumenti come Sysmon permettono di registrare e analizzare ogni operazione su cartelle critiche.

4. Disattivare la copia automatica dello sfondo

Se possibile, modificare le impostazioni di AnyDesk per impedire il salvataggio automatico dell’immagine di sfondo in C:\Windows\Temp\, bloccando così il vettore di attacco.

La vulnerabilità scoperta in AnyDesk dimostra ancora una volta come anche funzioni apparentemente insignificanti possano diventare armi pericolose nelle mani di un attaccante.

Sebbene una patch sia già disponibile, gli utenti devono adottare buone pratiche di sicurezza, aggiornare il software e monitorare attentamente l’attività dei file di sistema per evitare che vulnerabilità simili possano essere sfruttate in futuro.

In cybersecurity, l’aggiornamento e la prevenzione sono le uniche difese contro minacce in continua evoluzione.