CVE-2019-25747: Network Inventory Advisor sårbarhed
Network Inventory Advisor 5.0.26.0 har en fejl, der giver lokale angribere fuld systemkontrol via en ukorrekt sti-konfiguration.
Hvad er det?
Network Inventory Advisor er et program til at holde styr på alle enheder og programmer i din virksomheds netværk. I version 5.0.26.0 er der en fejl i den måde, programmet installerer sin baggrundstjeneste (en proces der kører automatisk i baggrunden) på. Stien til programfilen er ikke sat i anførselstegn, som den burde være. Det kaldes en ‘unquoted service path’-fejl (CWE-428). Det betyder, at Windows leder efter programfilen på en forkert måde, og en angriber kan udnytte det til at placere et ondsindet program på en mellemliggende mappe i stien. Næste gang tjenesten starter eller genstarter, kører Windows utilsigtet angriberens program i stedet.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Network Inventory Advisor version 5.0.26.0 til netværksovervågning. Angrebet kræver, at angriberen allerede har adgang til en brugerkonto på den berørte computer — det kan være en misfornøjet medarbejder, en kontrahent med begrænset adgang, eller en angriber, der allerede er trængt ind på systemet via en anden sårbarhed. SMV’er, der bruger programmet til at administrere deres it-inventar, er direkte i farezonen.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende køre vilkårlig kode med LocalSystem-rettigheder — det vil sige de højest mulige rettigheder på en Windows-computer. Det svarer til at give angriberen fuld kontrol over maskinen. Det kan føre til:
- Installation af malware, ransomware eller bagdøre
- Adgang til og tyveri af følsomme forretningsdata
- Deaktivering af sikkerhedsprogrammer (antivirus m.m.)
- Videre spredning til andre maskiner på samme netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.8 (Alvorlig). Angrebet er lokalt, hvilket betyder, at angriberen skal have fysisk eller logisk adgang til computeren på forhånd. Det sænker risikoen lidt sammenlignet med angreb over internettet. Til gengæld kræver det kun almindelige brugerrettigheder at udnytte fejlen — ingen administratoradgang er nødvendig — og konsekvenserne er fulde: fortrolighed, integritet og tilgængelighed er alle maksimalt kompromitteret. Er din virksomhed udsat for insidertrusler eller har ekstern adgang til systemer (f.eks. via fjernadgang), er risikoen højere.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Tjek om I bruger programmet: Få din it-ansvarlige til at undersøge, om Network Inventory Advisor 5.0.26.0 er installeret på jeres computere.
- Opdater eller afinstallér: Undersøg om leverandøren har udgivet en opdateret version, og installér den. Hvis programmet ikke længere er i brug, afinstallér det.
- Begræns brugerrettigheder: Sørg for, at medarbejdere kun har de rettigheder, de har brug for — ingen unødvendige administratorrettigheder.
- Overvåg tjenesteopstart: Bed din it-ansvarlige om at overvåge, om tjenesten ‘niaservice’ starter eller genstarter uventet.
- Gennemgå adgangslogs: Tjek om der har været mistænkelig aktivitet på de maskiner, hvor programmet er installeret.
Ret inden for 30 dage
Vi anbefaler, at du omgående undersøger, om Network Inventory Advisor 5.0.26.0 er i brug i din virksomhed. Kontakt leverandøren for at høre, om der er en opdateret version tilgængelig, og installér den så hurtigt som muligt. Indtil en patch foreligger, bør du overveje at afinstallere programmet og begrænse adgangen til de berørte maskiner til et absolut minimum. Har du brug for hjælp til at vurdere din eksponering, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang overtager systemer
En medarbejder med en almindelig Windows-brugerkonto opdager, at Network Inventory Advisor er installeret på sin arbejdscomputer. Medarbejderen placerer et ondsindet program i en mellemliggende mappe i servicestien — f.eks. ‘C:Program FilesNetwork.exe’. Næste gang computeren genstarter og tjenesten ‘niaservice’ starter op, kører Windows utilsigtet medarbejderens program med fulde LocalSystem-rettigheder. Medarbejderen har nu total kontrol over maskinen.
Angriber eskalerer rettigheder efter phishing-angreb
En angriber har via et phishing-angreb skaffet sig adgang til en medarbejders brugerkonto med normale rettigheder. Med denne adgang opdager angriberen ‘niaservice’-tjenestens ukorrekte sti-konfiguration ved hjælp af et standardværktøj. Angriberen placerer et ondsindet program på den relevante placering og afventer, at tjenesten genstarter — f.eks. ved næste planlagte opdatering — hvorefter angriberen opnår fuld kontrol over maskinen og kan bevæge sig videre i netværket.
Ransomware-angreb via eskaleret adgang
En angriber udnytter sårbarheden til at køre kode med LocalSystem-rettigheder og deaktiverer herefter antivirusprogrammet. Derefter installeres ransomware, som krypterer filer på den lokale maskine samt delte netværksdrev. Virksomheden mister adgang til kritiske filer og modtager et krav om løsesum for at få dem tilbage.
Ofte stillede spørgsmål
Skal angriberen sidde fysisk ved computeren for at udnytte fejlen?
Ikke nødvendigvis. Angriberen skal have adgang til en brugerkonto på den berørte computer, men det kan ske via fjernadgang — f.eks. gennem et kompromitteret fjernskrivebord (RDP) eller en anden sårbarhed. Fysisk tilstedeværelse er ikke et krav.
Hvad er en 'unquoted service path', og hvorfor er det farligt?
Når Windows skal starte en tjeneste, følger den en sti til programfilen. Hvis stien indeholder mellemrum og ikke er sat i anførselstegn, prøver Windows at gætte, hvor filen ligger — og tjekker flere placeringer undervejs. En angriber kan placere et ondsindet program på en af de placeringer, Windows tjekker, og så bliver det kørt i stedet for det rigtige program.
Er vi i fare, selvom ingen medarbejdere er utilfredse eller ondsindede?
Ja. En intern, utilsigtet trussel er ét scenarie, men angribere kan også have skaffet sig adgang til en medarbejderkonto via phishing eller en anden sårbarhed. Angrebet kræver kun en almindelig brugerkonto — ikke en administratorkonto — så risikoen er reel, selv uden en bevidst insider-trussel.
Kan vores antivirus opdage og stoppe angrebet?
Antivirus kan potentielt opdage kendte ondsindede filer, men kan ikke nødvendigvis forhindre selve udnyttelsen af sti-fejlen. En angriber kan bruge svært genkendelige eller tilpassede filer. Den bedste beskyttelse er at opdatere eller fjerne det sårbare program.
Hvad sker der, hvis vi ikke gør noget?
Hvis fejlen ikke rettes, og en angriber har adgang til en brugerkonto på en berørt maskine, kan vedkommende opnå fuld kontrol over computeren næste gang tjenesten genstarter — f.eks. ved en planlagt genstart eller opdatering. Det kan i værste fald føre til ransomware-angreb eller datatyveri.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Network Inventory Advisor 5.0.26.0 installs the niaservice service with an unquoted binary path that allows local attackers to escalate privileges by placing malicious executables in intermediate directories. Attackers can exploit the unquoted path in the service configuration to execute arbitrary code with LocalSystem privileges when the service starts or restarts.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
