CVE-2016-20092: NetDrive 2.6.12 privilegie-eskalering
Sårbarhed i NetDrive 2.6.12 giver lokale brugere mulighed for at overtage hele systemet med administratorrettigheder.
Hvad er det?
CVE-2016-20092 er en sårbarhed i fildelingsprogrammet NetDrive version 2.6.12. Problemet skyldes en fejl kaldet ‘unquoted service path’ (en manglende anførselstegn-fejl i programmets opsætning), som gør det muligt for en angriber at placere et skadeligt program på computeren. Når Windows efterfølgende starter NetDrive-tjenesten op — enten ved opstart eller genstart — køres det skadelige program i stedet for det rigtige, og angriberen får fuld kontrol over systemet.
Hvem rammer det?
Sårbarheden rammer virksomheder og brugere, der har installeret NetDrive 2.6.12 på Windows-computere. Angrebet kræver, at angriberen allerede har adgang til computeren med en almindelig brugerkonto — fx en medarbejder, en ekstern konsulent med adgang, eller en angriber der er kommet ind via et andet angreb. Det er særligt relevant for virksomheder, hvor flere brugere deler computere, eller hvor der er adgang til systemer via fjernadgang (remote desktop).
Hvad kan ske?
En angriber der udnytter denne sårbarhed kan:
- Eskalere sine rettigheder til SYSTEM-niveau (det højeste mulige på en Windows-computer)
- Installere skadelig software, ransomware eller bagdøre uden begrænsninger
- Slette, ændre eller stjæle alle data på systemet
- Deaktivere sikkerhedsprogrammer og antivirus
- Bruge den kompromitterede computer som springbræt til resten af virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale CVSS-system. Angrebet er relativt nemt at udføre, kræver kun en almindelig brugerkonto og ingen særlig teknisk viden. Det positive er, at angriberen skal have lokal adgang til computeren på forhånd — det kan ikke udføres direkte fra internettet uden forudgående adgang. Det begrænser antallet af mulige angribere, men gør det ikke uskadeligt.
Hvad gør jeg nu?
Gør følgende for at beskytte din virksomhed:
- Tjek om NetDrive 2.6.12 er installeret på dine computere. Søg i Windows’ programliste (Indstillinger → Apps) efter ‘NetDrive’.
- Opdater NetDrive til nyeste version fra producentens officielle hjemmeside, hvis en opdatering er tilgængelig.
- Afinstaller NetDrive på computere, hvor programmet ikke aktivt bruges — færre programmer betyder færre sårbarheder.
- Begræns brugerrettigheder så medarbejdere kun har de rettigheder, de har brug for. Undgå at give lokale administratorrettigheder til alle.
- Kontakt din IT-ansvarlige eller Auroa hvis du er usikker på, om din virksomhed er berørt.
Opdater hurtigst muligt
Vi anbefaler, at du prioriterer at kortlægge brugen af NetDrive i din virksomhed og opdaterer eller afinstallerer programmet hurtigst muligt. Selvom angrebet kræver lokal adgang, er det en velkendt teknik, som angribere bruger som næste skridt efter et indledende angreb — fx efter phishing. Sørg desuden for at gennemgå, hvilke brugere der har adgang til dine systemer, og om alle rettigheder er sat korrekt.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang overtager systemet
En medarbejder uden administratorrettigheder opdager, at NetDrive 2.6.12 er installeret på sin arbejdscomputer. Ved hjælp af frit tilgængeligt værktøj identificerer medarbejderen den sårbare servicesti og placerer et skadeligt program i Windows’ rodmappe. Næste gang computeren genstartes, køres det skadelige program med SYSTEM-rettigheder, og medarbejderen har nu fuld kontrol over maskinen — uden at IT-afdelingen opdager det.
Angriber bruger NetDrive-fejlen efter phishing-angreb
En ekstern angriber sender en phishing-mail til en medarbejder, der klikker på et ondsindet link og giver angriberen indledende adgang til sin brugerkonto. Angriberen opdager, at NetDrive 2.6.12 er installeret, og udnytter den unquoted service path-fejl til at placere et skadeligt program. Ved næste systemgenstart eskalerer angriberen sine rettigheder til SYSTEM og får fri adgang til hele virksomhedens netværk.
Konsulent med midlertidig adgang installerer bagdør
En ekstern IT-konsulent får midlertidig adgang til en virksomheds computer for at udføre et servicetjek. Konsulenten benytter lejligheden til at udnytte NetDrive-sårbarheden og installerer en skjult bagdør med SYSTEM-rettigheder. Selv efter konsulentens adgang er lukket, har bagdøren fortsat adgang til systemet og kan bruges til fremtidige angreb.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-fejl?
Det er en klassisk Windows-fejl, hvor et programs installationssti ikke er skrevet korrekt med anførselstegn i systemets opsætning. Windows kan derfor misfortolke stien og lede efter programfilen et forkert sted. En angriber kan udnytte dette ved at placere et skadeligt program der, så Windows kører det i stedet for det rigtige program.
Kan jeg blive angrebet udefra via internettet?
Nej, ikke direkte. Angriberen skal have en aktiv konto på den pågældende computer i forvejen. Men hvis en medarbejder fx klikker på en phishing-mail og giver en angriber indledende adgang, kan denne sårbarhed bruges til at eskalere rettighederne og overtage hele systemet.
Vi bruger NetDrive til at tilgå vores fildrev — hvad gør vi?
Tjek først om der er en nyere version af NetDrive tilgængelig og opdater i så fald øjeblikkeligt. Findes der ikke en patch, bør du overveje et alternativt program til filadgang, mens du afventer en løsning. Kontakt din IT-leverandør for hjælp til at finde et sikkert alternativ.
Er det kun NetDrive 2.6.12 der er berørt?
Den bekræftede sårbare version er 2.6.12. Det er ikke dokumenteret, om andre versioner af NetDrive er berørt. Vi anbefaler, at du uanset version opdaterer til den nyeste tilgængelige udgave og holder øje med meddelelser fra producenten.
Hvad er SYSTEM-rettigheder, og hvorfor er det farligt?
SYSTEM er den højeste rettighedsniveau på en Windows-computer — endnu højere end en lokal administrator. Med SYSTEM-rettigheder kan en angriber gøre næsten alt: installere programmer, slette filer, deaktivere sikkerhedssoftware og tilgå alle data på computeren uden begrænsninger.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
NetDrive 2.6.12 contains an unquoted service path vulnerability in the Netdrive2_Service_Netdrive2 service that allows local users to execute arbitrary code with SYSTEM privileges. Attackers can insert malicious executables in the system root path that will be executed during service startup or system reboot, resulting in privilege escalation.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
