N-Able的Take Control Agent漏洞使Windows系统面临权限提升

N-Able的Take Control Agent中发现了一个严重的安全漏洞，本地无特权攻击者可以利用该漏洞获得SYSTEM权限。

跟踪为CVE-2023-27470（CVSS评分：8.8），该问题与检查时间到使用时间（TOCTOU）竞争条件漏洞有关，如果成功利用该漏洞，则可以利用该漏洞删除Windows系统上的任意文件。

影响7.0.41.1141及之前版本的安全缺陷已在2023年3月15日发布的7.0.43版本中得到解决，随后Mandiant于2023年2月27日进行了负责任的披露。

检查时间到使用时间福尔斯软件缺陷的类别，其中程序检查特定值的资源状态，但该值在实际使用之前发生变化，有效地使检查结果无效。

利用这种缺陷可能导致完整性的损失，并诱使程序执行不应该执行的操作，从而允许威胁行为者访问未经授权的资源。

“当攻击者可以在检查和使用之间影响资源的状态时，这个弱点可能与安全相关，”根据通用弱点枚举（CWE）系统中的描述。“这可能发生在共享资源上，如文件、内存，甚至是多线程程序中的变量。“

根据谷歌拥有的威胁情报公司，CVE-2023-27470是由Take Control Agent（BASupSrvcUpdater.exe）中记录多个文件删除事件（例如，txt和bbb.txt文件）以及从名为“C：\ProgramData\GetSupportService_N-Central\PushUpdates.“

“简单地说，当BASupSrvcUpdater.exe记录删除aaa.txt时，攻击者可以迅速用符号链接替换bbb.txt文件，将该过程重定向到系统上的任意文件，”Mandiant安全研究员Andrew Oliveau说。

“此操作将导致进程无意中删除作为NT AUTHORITY\SYSTEM的文件。“

更令人不安的是，这种任意文件删除可能被武器化，以利用针对Windows安装程序回滚功能的竞争条件攻击来保护提升的命令提示符，从而可能导致代码执行。

“任意文件删除漏洞不再局限于[拒绝服务攻击]，并且确实可以作为实现提升代码执行的手段，”Oliveau说，并补充说，这种漏洞可以与“MSI的回滚功能相结合，将任意文件引入系统。“

“在不安全的文件夹中记录和删除事件的看似无害的过程可以使攻击者创建伪符号链接，欺骗特权进程在非预期的文件上运行操作。“