CVE-2016-20093: Wise Care 365 og Wise Disk Cleaner sårbarhed
Sikkerhedsfejl i Wise Care 365 og Wise Disk Cleaner giver lokale brugere mulighed for at overtage hele systemet.
Hvad er det?
CVE-2016-20093 er en sårbarhed af typen ‘unquoted service path’ (en fejl hvor Windows leder efter programfiler på forkerte steder, fordi en filsti ikke er sat i anførselstegn). Fejlen findes i to populære Windows-oprydningsprogrammer: Wise Care 365 version 4.27 og Wise Disk Cleaner version 9.29. Når disse programmer installerer en baggrundsservice (WiseBootAssistant), angiver de ikke filstien korrekt. Det betyder, at Windows ved opstart leder efter programmet på flere steder — og en angriber kan udnytte det ved at placere et ondsindet program på et af disse steder, så det køres med de højeste rettigheder på computeren.
Hvem rammer det?
Sårbarheden rammer virksomheder og privatpersoner, der har installeret Wise Care 365 version 4.27 eller Wise Disk Cleaner version 9.29 på Windows-computere. Den kræver, at angriberen allerede har en brugerkonto på den pågældende computer — for eksempel en medarbejder, en konsulent med adgang, eller malware der allerede er trængt ind. SMV’er med delte computere, fjernadgang (f.eks. via Remote Desktop) eller mange brugere bør være særligt opmærksomme.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan køre vilkårlig kode med SYSTEM-rettigheder — det vil sige de højeste mulige rettigheder på en Windows-computer. Det svarer til at have fuld kontrol over maskinen. Konsekvenserne kan inkludere:
- Installation af ransomware, spyware eller andre skadelige programmer
- Tyveri af adgangskoder, forretningsdata og kundeoplysninger
- Sletning eller kryptering af filer og backups
- Brug af computeren som udgangspunkt for angreb på resten af virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.8 ud af 10 (Alvorlig). Det er alvorligt, fordi angriberen kan opnå fuld kontrol over systemet, og fordi angrebet ikke kræver særlige tekniske evner eller brugerinteraktion, når angriberen først har fodfæste. Den eneste begrænsning er, at angriberen skal have lokal adgang til computeren på forhånd — det sænker risikoen lidt sammenlignet med angreb over internettet, men er stadig en væsentlig trussel i mange virksomhedsmiljøer.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek om I bruger de ramte programmer: Åbn ‘Programmer og funktioner’ i Windows og se efter Wise Care 365 eller Wise Disk Cleaner på jeres computere.
- Opdatér eller afinstallér: Opdatér til den nyeste version af de ramte programmer, eller afinstallér dem hvis I ikke har brug for dem. Kontakt leverandøren (Wisecleaner) for at bekræfte, at opdateringen løser problemet.
- Begræns brugeradgange: Sørg for, at medarbejdere kun har de rettigheder, de har brug for — ingen bør være lokal administrator, medmindre det er nødvendigt.
- Gennemgå fjernadgang: Hvis I bruger Remote Desktop eller andre fjernadgangsløsninger, så sørg for, at kun autoriserede brugere har adgang, og at adgangen kræver stærke adgangskoder og to-faktor-godkendelse.
- Kør en sårbarhedsscanning: Få en it-partner til at scanne jeres systemer for lignende ‘unquoted service path’-fejl i andre programmer.
Opdatér inden for 14 dage
Auroas anbefaling er, at I straks tjekker, om Wise Care 365 eller Wise Disk Cleaner er installeret på jeres computere, og opdaterer til nyeste version eller afinstallerer programmerne. Derudover bør I gennemgå, hvilke brugere der har lokale administratorrettigheder, og fjerne unødvendige rettigheder. Denne type sårbarhed er nem at udnytte for en angriber, der allerede har fod inden for døren — så det er en god anledning til at stramme op på adgangsstyringen generelt.
Tidslinje
Konkrete eksempler
Medarbejder med standard-adgang overtager systemet
En medarbejder med en normal Windows-brugerkonto på en delt kontor-PC opdager, at Wise Care 365 er installeret. Vedkommende placerer et ondsindet program på en sti som C:Program.exe, der matcher Windows’ fejlagtige søgning efter WiseBootAssistant-servicen. Næste gang computeren genstartes, kører Windows automatisk det ondsindede program med SYSTEM-rettigheder — og medarbejderen har nu fuld kontrol over maskinen uden at have haft administratorrettigheder.
Angriber bruger sårbarhed til at sprede sig i netværket
En angriber er trængt ind i virksomhedens netværk via en phishing-mail og har adgang til én computer med begrænsede rettigheder. Angriberen finder Wise Disk Cleaner installeret og udnytter service path-sårbarheden til at eskalere til SYSTEM-rettigheder. Med disse rettigheder kan angriberen installere et fjernadgangsprogram, stjæle adgangskoder fra hukommelsen og bevæge sig videre til andre computere og servere på netværket.
Ransomware-installation via automatisk servicestart
Malware, der allerede er aktiv på en computer med begrænsede brugerrettigheder, udnytter WiseBootAssistant-sårbarhedens unquoted service path til at placere en ransomware-fil på en strategisk placering i filsystemet. Ved næste systemgenstart aktiveres ransomwaren med SYSTEM-rettigheder og krypterer alle filer på computeren — inklusive eventuelle netværksdrev — før nogen opdager det.
Ofte stillede spørgsmål
Skal angriberen have fysisk adgang til computeren?
Ikke nødvendigvis fysisk adgang, men angriberen skal have en brugerkonto på computeren. Det kan for eksempel ske via en kompromitteret medarbejderkonto, fjernadgang (Remote Desktop) eller malware der allerede er installeret. Angrebsvektoren er lokal, men det betyder ikke, at computeren er sikker mod fjernangribere.
Er gratis oprydningsprogrammer som disse sikre at bruge i en virksomhed?
Gratis systemoptimeringsprogrammer er generelt ikke designet med virksomhedssikkerhed for øje og opdateres sjældent så hurtigt som professionelle løsninger. Vi anbefaler at overveje, om I egentlig har brug for sådanne programmer, og i så fald at holde dem opdaterede og kun installere dem fra officielle kilder.
Hvordan ved jeg, om nogen allerede har udnyttet sårbarheden på vores computere?
Det kan være svært at opdage uden specialiserede værktøjer. Tegn på kompromittering kan inkludere ukendte processer eller programmer i Task Manager, usædvanlig netværkstrafik, eller at antivirusprogrammet melder fejl. Kontakt en it-sikkerhedskonsulent, hvis I er i tvivl — de kan lave en gennemgang af jeres systemer.
Hvad er en 'unquoted service path', og hvorfor er det et problem?
Når Windows skal starte en baggrundsservice (et program der kører automatisk), læser det en filsti som f.eks. C:Program FilesWiseWiseBootAssistant.exe. Hvis denne sti ikke er sat i anførselstegn, og der er mellemrum i stinavnet, vil Windows prøve flere alternative placeringer — og en angriber kan placere et ondsindet program på en af disse placeringer, så Windows kører det i stedet for det rigtige program.
Gælder sårbarheden alle versioner af Wise Care 365 og Wise Disk Cleaner?
Den dokumenterede sårbarhed gælder specifikt Wise Care 365 version 4.27 og Wise Disk Cleaner version 9.29. Det anbefales at opdatere til nyeste version og verificere med leverandøren, at problemet er løst. Ældre versioner kan potentielt også være ramt af lignende fejl.
Kan vores antivirusprogram beskytte os mod denne sårbarhed?
Et antivirusprogram kan potentielt opdage det ondsindede program, som angriberen forsøger at placere på systemet. Men det er ikke en garanti — sofistikerede angribere kan omgå antivirusbeskyttelse. Den bedste beskyttelse er at opdatere eller fjerne de sårbare programmer og begrænse brugeradgange.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Wise Care 365 4.27 and Wise Disk Cleaner 9.29 contain unquoted service path vulnerabilities in the WiseBootAssistant and SpyHunter 4 Service respectively, allowing local users to execute arbitrary code with SYSTEM privileges. Attackers can insert malicious executables in the system root path that execute during service startup or system reboot with elevated privileges.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
