18/06/20
Специалисты компании SentinelOne обнаружили опасную уязвимость в драйвере шины USB for Remote Desktop от компании FabulaTech, переадресовывающей локальные USB-устройства на удаленную систему. Уязвимость (CVE-2020-9332) позволяет атакующему повысить свои привилегии на системе путем добавления поддельных устройств.
Клиентами FabulaTech являются известные технологические и другие компании, в том числе Google, Microsoft, Texas Instruments, BMW, MasterCard, NASA, Reuters, Intel, Chevron, Shell, Raytheon, Xerox, General Electric, а также Гарвардский университет и Raiffeisen Bank.
Решение для переадресации подключенных к сети USB-устройств позволяет локальному компьютеру воспринимать их таким образом, будто они подключены к нему непосредственно. Такая переадресация осуществляется с помощью специального ПО клиент/сервер. Собранная им информация о переадресовываемом USB-устройстве отправляется на сервер, запущенный на удаленной машине. С помощью драйвера шины сервер создает виртуальный объект и дает ему команду повторять все входящие и выходящие коммуникации реального устройства.
Как оказалось, шина драйвера от FabulaTech вызывает небезопасный процесс IoCreateDevice, в котором отсутствует механизм блокировки доступа из менее привилегированных объектов. Таким образом, пользователь без привилегий может добавлять и контролировать устройства, которым операционная система будет доверять. Более того, службы FabulaTech работают в учетной записи LocalSystem, обладающей высокими привилегиями на компьютере.
Исследователи представили PoC-эксплоит для уязвимости. Его основная идея заключается в том, что драйвер FabulaTech играет роль реле между ОС и службой в пользовательском режиме, извлекающей данные из реального переадресованного USB-устройства. В одном из описанных специалистами сценариев атак используется поддельный курсор, позволяющий обойти функцию контроля учетных записей пользователя в Windows.
FabulaTech известно о проблеме, и патч должен выйти в ближайшем будущем.
