今年9月軟體業者Progress發布24.0.1版網管軟體WhatsUp Gold,修補6項漏洞,其中有2項CVE-2024-8785、CVE-2024-46909為重大層級,但當時該公司僅列出CVE編號、通報者,以及漏洞的風險評分,並未對漏洞進一步說明,如今通報漏洞的研究人員透露CVE-2024-8785的細節。
CVE-2024-8785是由資安業者Tenable通報,他們在12月2日公開這個嚴重程度為9.8分的漏洞,發生在名為NmAPI.exe的元件,為能夠竄改Windows機碼的遠端程式碼執行(RCE)漏洞,未經授權的攻擊者有機會利用這項弱點,於目標系統遠端執行任意程式碼。
對於漏洞濫用的概念性驗證作法,研究人員也提出說明,幫助大家理解這項漏洞的嚴重性。他們指出,攻擊者可透過netTcpBinding呼叫UpdateFailoverRegistryValues工作,從而對HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\的機碼進行竄改數值,或是新增機碼。
附帶一提的是,攻擊者也能竄改HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir機碼,將其指向攻擊者控制的主機。
一旦Ipswitch Service Control Manager(ServiceControlManager.exe)服務重新啟動,WhatsUp Gold就會從攻擊者的伺服器讀取特定的manifest檔案,並經由ServiceControlManager.exe啟動。此時攻擊者便能在特定XML檔案加入惡意程式執行檔,從而在WhatsUp Gold載入、運作。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03
