Sandbox is a multipurpose HTML5 template with various layouts which will be a great solution for your business.

Contact Info

Moonshine St. 14/05
Light City, London
info@email.com
00 (123) 456 78 90

Learn More

Follow Us

ช่องโหว่ CVE-2024-12754 ใน AnyDesk ที่ช่วยให้สามารถยกระดับสิทธิ์และควบคุมระบบได้

Feb 10, 2025 Variya Kittiwattanachok

สรุปข้อมูล

พบช่องโหว่ CVE-2024-12754 ใน AnyDesk ที่ทำให้ผู้ใช้งานทั่วไปสามารถยกระดับสิทธิ์และเข้าควบคุมระบบได้ โดยช่องโหว่นี้เกิดจากการที่ AnyDesk คัดลอกไฟล์ด้วยสิทธิ์ NT AUTHORITY/SYSTEM ซึ่งอาจทำให้ไฟล์ถูกคัดลอกไปยัง C:/Windows/Temp และถูกเขียนทับด้วยไฟล์ที่ผู้โจมตีสร้างขึ้นก่อน ทำให้ผู้โจมตีได้สิทธิ์การควบคุมไฟล์นั้นๆ ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อเข้าถึงไฟล์ระบบสำคัญ เช่น SAM, SYSTEM และ SECURITY ซึ่งอาจนำไปสู่การดึงข้อมูล Credentials ของผู้ใช้งานและการควบคุมระบบได้

รายละเอียดช่องโหว่

CVE-2024-12754 (คะแนน CVSS: 5.5/10 ระดับความรุนแรง Medium) เป็นช่องโหว่ที่อนุญาตให้ผู้ใช้งาน Low-privileged สามารถยกระดับสิทธิ์และเข้าควบคุมระบบ โดยช่องโหว่ดังกล่าวเกิดจาก AnyDesk ดำเนินการอ่านหรือคัดลอกไฟล์ด้วยสิทธิ์ NT AUTHORITY/SYSTEM ซึ่งเป็นสิทธิ์ระดับสูงสุดของระบบ ในการโจมตีผู้ใช้งานทั่วไปสามารถสร้างไฟล์ใน C:/Windows/Temp โดยการตั้งค่าภาพพื้นหลัง เมื่อ AnyDesk คัดลอกไฟล์พื้นหลังไปยังตำแหน่งที่ผู้ใช้งานทั่วไปสามารถเข้าถึงได้ โดยไฟล์จะถูกเขียนทับไฟล์ที่มีอยู่ และยังคงชื่อเดิม รวมถึงคงความเป็นเจ้าของ (NT AUTHORITY/SYSTEM) และสิทธิ์เดิมไว้ ทำให้ผู้โจมตีที่ได้รับสิทธิ์ NT AUTHORITY/SYSTEM ในการควบคุมไฟล์สามารถเข้าถึงไฟล์ระบบสำคัญ เช่น SAM, SYSTEM, SECURITY

รายละเอียด Proof-of-Concept (PoC)

  1. เริ่มแรกผู้โจมตีสร้างไฟล์เป้าหมายไว้ใน C:/Windows/Temp ทำการเปลี่ยนภาพพื้นหลังเป็นไฟล์ที่ต้องการ และตั้งค่า oplock ไว้บนไฟล์ภาพพื้นหลัง
  2. หลังจากนั้นทำการเชื่อมต่อ AnyDesk กับเครื่องของผู้โจมตีเพื่อ Trigger Bug หรือช่องโหว่ของ AnyDesk เองและเปลี่ยน Directory ของภาพพื้นหลังให้เป็น Junction Point ไปยัง /RPC Control โดยสร้าง Symlink จาก  /RPC Control ไปยังไฟล์เป้าหมายใน Shadow Copy เช่น ไฟล์ SAM, SYSTEM และ SECURITY
  3. สุดท้ายผู้โจมตี Copy ไฟล์จาก C:/Windows/Temp ไปยังตำแหน่งที่ต้องการ และทำการดึงข้อมูล Credential พร้อมยกระดับสิทธิ์เป็น Administrator

ผลกระทบจากการโจมตี

จากช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์จากผู้ใช้ทั่วไป สามารถยกระดับสิทธิ์เป็น NT AUTHORITY/SYSTEM ซึ่งสามารถเข้าถึงไฟล์ระบบสำคัญ เช่น  SAM, SYSTEM, SECURITY และควบคุมระบบได้ทั้งหมด การโจมตีนี้อาจนำไปสู่การดึงข้อมูล Credentials ของผู้ใช้ การติดตั้งมัลแวร์ หรือการทำลายข้อมูลสำคัญในระบบได้

คำแนะนำ

  • ผู้ใช้ควรอัปเดต AnyDesk เป็นเวอร์ชัน 9.0.1 หรือเวอร์ชันล่าสุดทันที เพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น
  • ตรวจสอบและจำกัดสิทธิ์ของผู้ใช้ในระบบ เพื่อป้องกันไม่ให้ผู้ใช้ทั่วไปสามารถเข้าถึงไฟล์ที่มีความสำคัญ
  • ใช้ซอฟต์แวร์ป้องกันมัลแวร์และตรวจสอบความปลอดภัยในระบบอย่างสม่ำเสมอ

แหล่งอ้างอิง

hxxps[:]//securityonline.info/anydesk-exploit-alert-cve-2024-12754-enables-privilege-escalation-poc-available/


Tags: AnyDesk Privilege Escalation Vulnerability Exploitation

เข้าร่วมเป็นส่วนหนึ่งในสมาชิกของเรา

สมัครสมาชิกเพื่อรับข่าวสารด้าน Cybersecurity ในทุกๆวัน ไม่พลาดอัปเดต และคำแนะนำต่างๆ