CVE-2020-37250: Sårbarhed i TFTP Broadband 4.3.0.1465
Sårbarhed i TFTP Broadband 4.3.0.1465 lader lokale angribere køre skadelig kode med fulde systemrettigheder.
Hvad er det?
TFTP Broadband 4.3.0.1465 indeholder en fejl kaldet en ‘unquoted service path’ (en sti til et program der ikke er sat i anførselstegn). Det betyder, at Windows ikke kan finde det rigtige program, når tjenesten tftpt.exe starter op. En angriber kan udnytte dette ved at placere et ondsindet program et sted i stien, som Windows vil køre i stedet. Fejlen hører under CWE-428, der beskriver netop denne type stihåndteringsfejl i Windows-tjenester.
Hvem rammer det?
Sårbarheden rammer virksomheder og brugere der har installeret TFTP Broadband version 4.3.0.1465 på Windows-computere. TFTP (Trivial File Transfer Protocol) bruges typisk til at overføre filer på et netværk — fx til at opdatere firmware på netværksudstyr. Har du software i denne kategori installeret på dine servere eller arbejdsstationer, bør du tjekke versionen med det samme.
Hvad kan ske?
En angriber der allerede har adgang til computeren som en normal bruger (uden administratorrettigheder), kan placere et ondsindet program i Program Files-mappen. Næste gang tjenesten genstarter — eller computeren genstartes — kører Windows det ondsindede program med de højeste systemrettigheder (LocalSystem). Det svarer til, at angriberen overtager hele computeren. Derfra kan vedkommende stjæle data, installere ransomware, oprette skjulte brugerkonti eller sprede sig til resten af dit netværk.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Angrebet kræver lokal adgang til maskinen, men kræver ikke administratorrettigheder — kun en almindelig brugerkonto. Når angrebet lykkes, får angriberen fulde systemrettigheder, og konsekvenserne for fortrolighed, dataintegritet og tilgængelighed er alle maksimale. Det er med andre ord en alvorlig sårbarhed, selvom angriberen skal have fodfæste på maskinen i forvejen.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek om du er berørt: Søg på dine Windows-computere og servere efter programmet TFTP Broadband. Gå til Kontrolpanel → Programmer og funktioner og kig efter versionen 4.3.0.1465.
- Kontakt leverandøren: Undersøg om producenten bag TFTP Broadband har udgivet en opdateret version der retter fejlen. Søg efter opdateringer på deres officielle hjemmeside eller kontakt deres support.
- Begræns lokal adgang: Sørg for, at kun nødvendige medarbejdere har lokal adgang til de maskiner hvor softwaren kører. Jo færre brugere, jo sværere er det for en angriber at udnytte fejlen.
- Overvåg opstartsaktivitet: Hvis du har et antivirusprogram eller EDR-løsning (et program der overvåger computeraktivitet), så tjek at det er aktivt og opdateret på de berørte maskiner.
- Genstart begrænset: Undgå unødvendige genstarter af berørte maskiner indtil fejlen er rettet, da angrebet aktiveres ved genstart af tjenesten.
Ret snarest muligt
Auroa anbefaler, at du straks undersøger om TFTP Broadband 4.3.0.1465 er installeret i din virksomhed. Da der på nuværende tidspunkt ikke kendes til en officiel rettelse, bør du overveje at afinstallere softwaren, hvis den ikke er forretningskritisk, og finde et alternativ. Kontakt din IT-leverandør eller Auroa, hvis du har brug for hjælp til at vurdere risikoen og sikre dine systemer.
Tidslinje
Konkrete eksempler
Angriber eskalerer rettigheder via genstart
En medarbejders computer er kompromitteret via et phishing-angreb, og angriberen har adgang som en normal bruger. Angriberen opdager at TFTP Broadband er installeret og placerer et ondsindet program i en mappe langs den sårbare sti. Næste morgen, når IT-afdelingen genstarter serveren som del af en planlagt opdatering, køres det ondsindede program automatisk med fulde systemrettigheder — og angriberen har nu total kontrol over maskinen.
Intern trussel fra utilfreds medarbejder
En medarbejder med en normal brugerkonto og adgang til en server med TFTP Broadband installeret udnytter fejlen til at placere et program der opretter en skjult administratorkonto. Selv efter medarbejderen forlader virksomheden, har vedkommende stadig adgang til systemet via bagdøren — uden at IT-afdelingen er klar over det.
Ransomware-spredning via lokal eskalering
En angriber er kommet ind på netværket via en svag adgangskode og finder en maskine med TFTP Broadband. Ved hjælp af denne sårbarhed opnår angriberen systemrettigheder og installerer ransomware med fuld adgang til alle filer på maskinen. Da maskinen er forbundet til et netværksdrev, krypteres virksomhedens delte filer — og arbejdet går i stå.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-fejl?
Det er en fejl i den måde Windows finder og starter et program. Hvis stien til programmet indeholder mellemrum og ikke er sat i anførselstegn, forsøger Windows at gætte sig frem til det rigtige program. En angriber kan udnytte dette ved at placere et ondsindet program der, hvor Windows leder — og dermed få Windows til at køre det forkerte program med høje rettigheder.
Skal angriberen sidde fysisk ved min computer?
Ikke nødvendigvis. Angrebet kræver lokal adgang, men det kan også betyde at angriberen er kommet ind via en anden sårbarhed, et phishing-angreb eller en kompromitteret brugerkonto. Det er altså ikke kun et problem hvis nogen bryder ind på kontoret.
Er det kun TFTP Broadband 4.3.0.1465 der er ramt?
Ud fra de tilgængelige oplysninger er det netop version 4.3.0.1465 der er identificeret som sårbar. Det er uklart om andre versioner af softwaren har samme fejl. Kontakt leverandøren for at få afklaret om din version er påvirket.
Hvad er TFTP-software, og hvad bruges det til?
TFTP står for Trivial File Transfer Protocol og er en simpel metode til at overføre filer over et netværk. Det bruges typisk i tekniske miljøer til fx at opdatere firmware på routere, switche og andet netværksudstyr. Mange almindelige kontorbrugere har ikke brug for det til daglig.
Kan mit antivirusprogram opdage angrebet?
Et godt og opdateret antivirusprogram kan i mange tilfælde opdage det ondsindede program, som angriberen forsøger at placere. Men det er ikke en garanti — og det løser ikke den grundlæggende fejl i softwaren. Antivirusprogrammet er et supplement, ikke en erstatning for at opdatere eller fjerne den sårbare software.
Hvad sker der hvis jeg ikke gør noget?
Hvis du ikke handler, og en angriber først får fodfæste på en af dine maskiner via fx phishing eller en svag adgangskode, kan vedkommende bruge denne sårbarhed til at overtage hele computeren med fulde rettigheder. Derfra er vejen kort til datatyveri, ransomware eller spredning til resten af dit netværk.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
TFTP Broadband 4.3.0.1465 contains an unquoted service path vulnerability in the tftpt.exe service binary that allows local attackers to execute arbitrary code with system privileges. Attackers can place a malicious executable in the Program Files directory path that will be executed during service startup or system reboot with LocalSystem privileges.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
