آسیب‌پذیری Citrix Workspace

کمیته رکن چهارم – علی‌رغم اصلاح بیشتر باگ‌ها در ماه جولای، فایل‌های Windows MSI همچنان برای مهاجمان فضای حمله ایجاد می‌کنند.

با برطرف شدن نقص Citrix Workspace در ماه جولای، مشخص شد که یک مسیر حمله ثانویه وجود دارد که به مجرمان سایبری این امکان را می‌دهد تا بهره‌‌برداری‌هایشان را افزایش دهند و از راه دور دستورات دلخواه خود را در سیستم اجرا کنند.این آسیب‌پذیری (CVE-۲۰۲۰-۸۲۰۷) در سرویس به‌روزرسانی خودکار اپلیکیشن Citrix Workspace برای ویندوز وجود دارد. این امر می‌تواند اجازه افزایش بهره‌‎برداری محلی را بدهد و همچنین زمانی که windows file sharing (SMB) فعال است از راه دور برای رایانه‌ای که برنامه را اجرا می کند خطر ایجاد کند.

اگرچه قبلا این ایراد برطرف شده بود، اما به تازگی مشخص شده که هنوز هم این باگ به مهاجمان اجازه می‌دهد تا از کسانی که Citrix را نصب کرده‌اند سوءاستفاده شود. این مسئله باعث شده که آسیب‌پذیری موجود به یک فرمان command-line injection vulnerability تبدیل شود.

سرویس به‌روزرسانی در ابتدا به یک هش فایل معیوب در یک محموله JSON متکی بود تا تعیین کند که آیا به‌روزرسانی باید ادامه یابد یا خیر. این کار به مهاجمان اجازه می‌دهد با سوءاستفاده از هش ضعیف، کد خود را دانلود کنند.

برای حل این مشکل، آخرین کاتالوگ‌‌های به‌روزرسانی اکنون از سرورهای آپدیت Citrix به صورت مستقیم دانلود می‌شوند.

اگر فایل آپدیت امضا شده و معتبر باشد و هش فایل به‌روزرسانی با یکی از فایل‌های موجود در مانیفست مطابقت داشته باشد، فایل به‌روزرسانی برای انجام عملیات Upgrade اجرا می‌شود.

با این حال، این وصله (patch) نتوانست از طریق اتصال از راه دور مانع حمله شود. این کاتالوگ شامل فایل‌ های اجرایی و فایل ‌های MSI برای نصب کردن است.

محققان با مشاهده کد راه‌اندازی installer، دریافتند که این برنامه پسوند فایل درخواستی را برای بروزرسانی بررسی می‌کند و اگر به MSI ختم شود، یک فایل Windows Installer به نظر می‌آید. از آنجا که فایل MSI از نظر امضای معتبر بررسی می‌شود و به کاتالوگ فعلی ارجاع داده می شود، مهاجمان نمی‌توانند مستقیماً فایل‌های دلخواه MSI را نصب کنند.

حتی اگر فایل‌های MSI برای جلوگیری از تغییرات، امضا و هش شده باشند از ویژگی‌‌های پشتیبانی شده توسط Windows Installer، MSI Transform استفاده می‌شود.

MSI Transforms از تغییر یا تبدیل پایگاه داده MSI قبل از عملیات نصب پشتیبانی می‌کند. مدیران دامنه معمولاً از این ویژگی برای بیرون کشیدن فایل‌ های MSI در محیط Active Directory استفاده می‌کنند که اغلب به تنهایی زمان اجرا عمل نمی‌کنند.

برای استفاده از MST، کاربران مسیر انتقال فایل را در خط فرمان مشخص می‌کنند تا فایل اصلی MSI را با تغییراتی که در فایل MST در طی مراحل نصب وجود دارد ادغام کند.

طبق گفته محققان در این مورد اشکالی نهفته است: «با استفاده از Citrix MSI رسمی امضا شده که در فایل کاتالوگ وجود دارد می‌توان آرگومان ‌های منتقل شده به msiexec را کنترل و مسیر انتقال بد را ایجاد کرد.»

همچنین تبدیل‌های مخرب را می‌توان با ابزاری به نام Microsoft Orca یا با یک ابزار سفارشی ایجاد کرد. سپس برای سوءاستفاده از این آسیب‌پذیری، مهاجمان installer اصلی MSI و MST را روی یک اشتراک شبکه قرار می‌دهند که برای دستگاه قربانی آماده شده است.

محققان به این نتیجه رسیدند که: «هر دو روش تشدید امتیاز محلی و از راه دور فقط می‌توانند زمانی مورد سوءاستفاده قرار بگیرند که فایل CitrixReceiverUpdate.exe برای قربانی اجرا شود.

کاربران Citrix Workspace برای سیستم عامل ویندوز باید برنامه‌های خود را به آخرین نسخه حاوی یک وصله اصلاح شده، به‌روزرسانی کنند.

مرجع : مرکز مدیریت راهبردی افتا