Forscher haben Details über eine Sicherheitslücke in der Netwrix Auditor-Anwendung bekannt gegeben, die bei erfolgreicher Ausnutzung zur Ausführung von beliebigem Code auf den betroffenen Geräten führen kann.
„Da dieser Dienst in einer Active Directory-Umgebung in der Regel mit weitreichenden Rechten ausgeführt wird, könnte der Angreifer wahrscheinlich die Active Directory-Domäne kompromittieren“, so Bishop Fox in einem diese Woche veröffentlichten Advisory.
Auditor ist eine Plattform für Auditing und Transparenz, die es Unternehmen ermöglicht, einen konsolidierten Überblick über ihre IT-Umgebungen zu erhalten, einschließlich Active Directory, Exchange, Dateiserver, SharePoint, VMware und andere Systeme – alles von einer einzigen Konsole aus.
Netwrix, das Unternehmen hinter der Software, hat nach eigenen Angaben mehr als 11.500 Kunden in über 100 Ländern, darunter Airbus, Virgin, das King’s College Hospital und Credissimo.
Die Schwachstelle, die sich auf alle unterstützten Versionen vor 10.5 auswirkt, wird als unsichere Objekt-Deserialisierung beschrieben, die auftritt, wenn nicht vertrauenswürdige, vom Benutzer kontrollierbare Daten geparst werden, um Angriffe zur Ausführung von Remote-Code durchzuführen.
Die Ursache für den Fehler ist ein ungesicherter .NET-Remoting-Dienst, der über den TCP-Port 9004 auf dem Netwrix-Server erreichbar ist und es einem Akteur ermöglicht, beliebige Befehle auf dem Server auszuführen.
„Da der Befehl mit NT AUTHORITY\SYSTEM-Rechten ausgeführt wurde, kann ein Angreifer den Netwrix-Server vollständig kompromittieren“, so Jordan Parkin von Bishop Fox.
Unternehmen, die Auditor einsetzen, wird empfohlen, die Software auf die neueste Version 10.5 zu aktualisieren, die am 6. Juni veröffentlicht wurde, um mögliche Risiken auszuschließen.