CVE-2016-20086: Vembu StoreGrid 4.0 sårbarhed
Fejl i Vembu StoreGrid 4.0 lader lokale angribere overtage hele systemet ved at placere et skjult program i en sårbar sti.
Hvad er det?
Vembu StoreGrid 4.0 har en fejl kaldet ‘unquoted service path’ (en sårbarhed hvor Windows leder efter programmer på forkerte steder, fordi stinavne ikke er korrekt afgrænset med anførselstegn). Det betyder, at to af programmets baggrundsservices — RemoteBackup og RemoteBackup_webServer — kan narre Windows til at køre en ondsindet fil i stedet for den rigtige. En angriber med adgang til computeren kan placere en skadelig eksekverbar fil i den fejlagtige sti og derefter genstarte servicen. Windows vil så køre angribernes fil med de højeste systemrettigheder (LocalSystem), hvilket giver fuld kontrol over maskinen.
Hvem rammer det?
Virksomheder og it-afdelinger der bruger Vembu StoreGrid version 4.0 til backup og datasikkerhed på Windows-servere eller arbejdsstationer. Sårbarheden kræver, at angriberen allerede har en konto på den pågældende maskine — men det kan eksempelvis være en medarbejder, en underleverandør med fjernadgang eller et allerede kompromitteret system. Er du SMV og bruger Vembu StoreGrid til backup, bør du tjekke din version med det samme.
Hvad kan ske?
Hvis en angriber udnytter fejlen, opnår vedkommende fuld kontrol over det berørte system med LocalSystem-rettigheder — det er de højeste rettigheder på en Windows-maskine. Det betyder, at angriberen kan:
- Installere ransomware eller anden malware
- Tilgå og kopiere alle filer, herunder backup-data
- Slette eller manipulere sikkerhedskopier, så gendannelse bliver umulig
- Bevæge sig videre til andre systemer på netværket
- Skjule alle spor og oprette skjulte bagdøre
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af den internationale standard CVSS. Selvom angriberen skal have lokal adgang til maskinen — hvilket sænker risikoen en smule sammenlignet med angreb udefra — er konsekvenserne meget alvorlige. Fuld kompromittering af fortrolighed, integritet og tilgængelighed (alle tre CIA-faktorer er vurderet til ‘Høj’). For en backup-løsning er det særligt kritisk, da et angreb her kan ødelægge din virksomheds evne til at gendanne data efter et andet sikkerhedsangreb.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek din version: Åbn Vembu StoreGrid og find versionsnummeret. Er det version 4.0, er du potentielt sårbar.
- Opdater straks: Besøg Vembu’s officielle hjemmeside og installer den seneste version af StoreGrid, som løser denne fejl.
- Begræns lokal adgang: Sørg for at kun betroede brugere har login-adgang til den server, der kører StoreGrid. Fjern unødvendige brugerkonti.
- Gennemgå fjernadgange: Kontrollér at underleverandører og eksterne parter kun har den adgang, de reelt har brug for — og at adgangen logges.
- Overvåg dine backup-services: Tjek om RemoteBackup og RemoteBackup_webServer-services kører normalt og ikke er blevet ændret.
- Kontakt din it-leverandør: Hvis du er usikker på, om du er berørt, eller hvordan du opdaterer, så tag fat i din it-partner hurtigst muligt.
Opdater hurtigst muligt
Vembu StoreGrid bruges til at beskytte dine data — men denne fejl kan gøre din backup-løsning til en indgang for angribere. Vi anbefaler, at du opdaterer til den nyeste version af Vembu StoreGrid så hurtigt som muligt. Kombiner opdateringen med en gennemgang af, hvem der har adgang til de berørte servere. Har du brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen, er du velkommen til at kontakte Auroa.
Tidslinje
Konkrete eksempler
Medarbejder eskalerer rettigheder
En medarbejder med en standard Windows-konto på virksomhedens backup-server opdager, at Vembu StoreGrid 4.0 er installeret. Ved at placere en skadelig .exe-fil i en mappe tidligt i den sårbare sti og genstarte RemoteBackup-servicen — noget en normal bruger kan bede om via Windows’ servicemanager — udføres filen med LocalSystem-rettigheder. Medarbejderen har nu fuld kontrol over serveren og kan tilgå alle virksomhedens backupdata.
Angriber bevæger sig videre i netværket
En angriber har via en phishing-mail fået adgang til en almindelig medarbejderkonto. Kontoen har ikke administratorrettigheder, men angriberen opdager Vembu StoreGrid 4.0 på maskinen. Ved at udnytte unquoted service path-fejlen opnår angriberen LocalSystem-rettigheder og kan derefter installere et fjernadgangsværktøj, som giver vedkommende permanent adgang til hele virksomhedens netværk — også efter den kompromitterede medarbejderkonto eventuelt lukkes.
Ransomware ødelægger backups
En angriber udnytter sårbarheden til at opnå systemrettigheder på backup-serveren og krypterer alle virksomhedens sikkerhedskopier med ransomware. Når virksomheden rammes af et separat ransomware-angreb på den primære server og forsøger at gendanne data, opdager de, at backupsene også er krypterede og ubrugelige — og virksomheden har ingen mulighed for at gendanne sine data uden at betale løsesum.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-sårbarhed?
Det er en fejl i Windows-programmer, hvor stinavnet til et programs eksekverbare fil ikke er sat i anførselstegn. Når Windows så skal starte programmet, leder det efter filen på flere steder — og en angriber kan placere en skadelig fil på et af disse steder, så Windows kører den forkerte fil med høje rettigheder.
Skal angriberen have fysisk adgang til min computer?
Ikke nødvendigvis fysisk adgang, men angriberen skal have en brugerkonto på maskinen. Det kan eksempelvis være en misfornøjet medarbejder, en underleverandør med fjernadgang eller en angriber, der allerede har kompromitteret en anden konto på systemet via phishing eller anden malware.
Er min backup-data i fare?
Ja, potentielt. Fordi StoreGrid er en backup-løsning, kan en angriber der udnytter denne sårbarhed få adgang til alle dine sikkerhedskopier — og i værste fald slette eller kryptere dem. Det gør fejlen særligt alvorlig, da du ellers kan stole på din backup som et sikkerhedsnet mod eksempelvis ransomware.
Hvad hvis jeg ikke kan opdatere med det samme?
Som midlertidig løsning bør du straks begrænse adgangen til den server, der kører Vembu StoreGrid, så kun absolut nødvendige brugere kan logge ind. Overvåg systemet løbende for mistænkelig aktivitet. Planlæg opdateringen til hurtigst muligt — dette er ikke en fejl, du bør lade vente længe.
Hvordan ved jeg, om nogen allerede har udnyttet sårbarheden?
Kig i Windows hændelsesloggen (Event Viewer) for usædvanlige opstart-hændelser for RemoteBackup og RemoteBackup_webServer services, og tjek om der ligger ukendte eksekverbare filer i programmets installationsmappe eller tilknyttede stier. Er du i tvivl, kan en it-sikkerhedsspecialist gennemgå systemet for dig.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Vembu StoreGrid 4.0 contains an unquoted service path vulnerability in the RemoteBackup and RemoteBackup_webServer services that allows local attackers to escalate privileges. Attackers can place a malicious executable in the unquoted path and restart the service to execute code with LocalSystem privileges.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
