Агент JumpCloud Remote Assist для Windows содержал критическую уязвимость локального повышения привилегий, позволяющую полностью скомпрометировать систему.
Уязвимость, раскрытая компанией XM Cyber, связана с небезопасными файловыми операциями во время удаления или обновления, которые выполняются с привилегиями Windows NT AUTHORITY\SYSTEM. Ошибка могла позволить локальному пользователю с низкими привилегиями получить полный контроль над системой или вызвать отказ в обслуживании на корпоративных машинах.
Агент JumpCloud широко используется в корпоративных средах как часть облачной платформы Directory-as-a-service, управляя доступом к устройствам и функциями удаленной поддержки на конечных точках Windows. По словам Хиллеля Пинто из XM Cyber, злоумышленникам достаточно локального доступа для эксплуатации уязвимости, который обычно получается через фишинг, сеансы удаленной поддержки или с помощью машин разработчиков.
Системы, использующие Remote Assist для Windows до версии 0.317, уязвимы и требуют немедленного обновления для снижения рисков.
Привилегированное удаление в недоверенном временном пространстве
Уязвимость, отслеживаемая как CVE-2025-34352 и оцененная в 8,5 из 10 по шкале CVSS, подчеркивает риски, связанные с некорректной обработкой привилегированных операций на конечных точках Windows. Во время операций удаления или обновления агент JumpCloud запускает деинсталлятор Remote Assist с системными привилегиями — высшим возможным уровнем авторизации в Windows.
Однако эта процедура выполняет действия по созданию, записи, выполнению и удалению файлов во временной поддиректории %TEMP%, доступной для записи пользователем, без проверки надежности пути или сброса списков контроля доступа.
Поскольку деинсталлятор выполняет привилегированные файловые операции внутри контролируемой пользователем директории %TEMP%, злоумышленник с низкими привилегиями может злоупотребить этими операциями для перезаписи или удаления защищенных системных файлов.
«У нас есть процесс JumpCloud с привилегиями NT AUTHORITY\SYSTEM, который удаляет, записывает и выполняет файл с предсказуемым именем из недоверенного пути», — сказал Пинто в посте в блоге. «Суть эксплойта заключается в перенаправлении ссылок, использовании точек монтирования и символических ссылок для перенаправления привилегированной операции ввода-вывода».
Полное повышение привилегий и отказ в обслуживании
Уязвимость открывает два основных вектора эксплуатации со значительным операционным воздействием: полное повышение привилегий до системного уровня и отказ в обслуживании (DoS).
Манипулируя путями файловой системы и используя состояние гонки, злоумышленник может перенаправить операции деинсталлятора для удаления или перезаписи защищенных целей конфигурации установщика, в конечном итоге применяя методы, которые дают ему командную строку системного уровня. Доступ к системе на корпоративной конечной точке фактически предоставляет контроль над применением политик, путями кражи учетных данных и возможностями бокового перемещения.
В качестве альтернативы злоумышленники могут заставить привилегированный процесс записывать произвольные данные в критически важные системные файлы (например, драйверы), повреждая их и вызывая условия «синего экрана смерти» (BSOD). Это не только выводит машины из строя, но и может потребовать значительных усилий по восстановлению, особенно в распределенных сетях.
Пинто сообщил, что обновление до версии JumpCloud Remote Assist для Windows 0.317.0 или более поздней устранит эту проблему. «Я и моя команда ответственно сообщили об уязвимости JumpCloud, которая подтвердила наши выводы и оперативно выпустила исправление». Хотя Национальная база данных уязвимостей (NVD) NIST отмечает, что уязвимость исправлена, и ссылается на примечания к выпуску JumpCloud Agent для установки патча, на данный момент на странице или на сайте поддержки JumpCloud нет отдельной заметки об этой уязвимости. JumpCloud не сразу ответила на запрос CSO о комментариях.
Автор – Shweta Sharma
