CVE-2020-37254: Sårbarhed i Wondershare PDFelement
Fejl i Wondershare PDFelement 5.2.9 lader lokale angribere overtage hele din Windows-computer med systemrettigheder.
Hvad er det?
CVE-2020-37254 er en sårbarhed i PDF-programmet Wondershare PDFelement version 5.2.9 til Windows. Fejlen skyldes en såkaldt unquoted service path (en ukorrekt angivet filsti uden anførselstegn) i en Windows-baggrundsservice kaldet WsAppService. Det betyder, at Windows kan snyde sig selv til at køre et forkert program, hvis en angriber placerer en ondsindet fil på den rigtige placering. Angriberen behøver ikke særlige rettigheder på forhånd — blot adgang til computeren som almindelig bruger.
Hvem rammer det?
Sårbarheden rammer virksomheder og brugere, der har Wondershare PDFelement version 5.2.9 installeret på Windows-computere. Det er særligt relevant, hvis:
- Medarbejdere bruger PDFelement til at redigere eller konvertere PDF-filer
- Computerne er delte arbejdsstationer, hvor flere brugere logger ind
- I ikke har opdateret til en nyere version af programmet
Hvad kan ske?
En angriber, der allerede har adgang til computeren som en almindelig bruger (f.eks. via et hacket medarbejderlogin), kan placere et ondsindet program på en bestemt sti på harddisken. Næste gang computeren genstarter eller WsAppService-tjenesten startes igen, kører Windows automatisk det ondsindede program — med de højeste systemrettigheder (LocalSystem). Det svarer til, at angriberen får fuldstændig kontrol over computeren. Derfra kan vedkommende:
- Stjæle fortrolige filer og adgangskoder
- Installere yderligere skadelig software, f.eks. ransomware
- Slette eller kryptere data
- Sprede sig videre til andre computere på netværket
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale CVSS-scoringssystem. Det er høj alvor, fordi angriberen opnår fuld kontrol over systemet. Den eneste begrænsende faktor er, at angriberen skal have lokal adgang til computeren i forvejen — det kan dog ske via phishing, et kompromitteret medarbejderlogin eller en allerede inficeret maskine. Fejltypen (CWE-428, unquoted service path) er velkendt og relativt let at udnytte for en erfaren angriber.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Identificér om I bruger programmet: Tjek om Wondershare PDFelement version 5.2.9 er installeret på virksomhedens computere (søg under Indstillinger → Apps i Windows).
- Opdatér straks: Opdatér PDFelement til den seneste version via Wondershares hjemmeside eller programmets indbyggede opdateringsfunktion. Den nyeste version indeholder en rettelse af denne fejl.
- Afinstallér hvis I ikke bruger det: Hvis I ikke aktivt bruger programmet, så afinstallér det for at fjerne risikoen helt.
- Begræns brugerrettigheder: Sørg for at medarbejdere kun har de rettigheder de har brug for — en standard-bruger bør ikke kunne skrive til systemstier.
- Tjek for mistænkelig aktivitet: Hvis I er bekymrede for om en angriber allerede har udnyttet fejlen, så kontakt en IT-sikkerhedskonsulent.
Opdatér inden for 7 dage
Opdatér Wondershare PDFelement til den nyeste version hurtigst muligt — det er den mest direkte løsning. Unquoted service path-fejl er en af de angrebstyper, der er lettest at udnytte for en angriber med lokal adgang, og den type adgang opnås ofte via phishing. Overvej samtidig at gennemgå hvilke programmer der er installeret på jeres computere, og afinstallér alt I ikke aktivt bruger. Kontakt os gerne, hvis I har brug for hjælp til at vurdere jeres eksponering.
Tidslinje
Konkrete eksempler
Angriber via stjålet medarbejderlogin
En medarbejder klikker på et phishing-link og afslører sine Windows-loginoplysninger. Angriberen logger ind på medarbejderens computer med normale brugerrettigheder og placerer et ondsindet program på den sti, som WsAppService-tjenesten fejlagtigt vil forsøge at køre. Ved næste genstart af computeren kører Windows det ondsindede program med fulde systemrettigheder, og angriberen overtager maskinen fuldstændigt.
Intern trussel fra misfornøjet medarbejder
En medarbejder med adgang til en delt arbejdsstation ønsker at eskalere sine rettigheder for at tilgå fortrolige filer. Vedkommende udnytter PDFelement-sårbarheden til at placere et lille script på den relevante systemsti. Næste gang en administrator genstarter maskinen, kører scriptet med fuld systemkontrol og giver medarbejderen adgang til hele computeren.
Ransomware-spredning via kompromitteret maskine
En computer i virksomheden er allerede inficeret med skadelig software, der har normale brugerrettigheder. Den skadelige software identificerer automatisk, at PDFelement 5.2.9 er installeret, og udnytter unquoted service path-fejlen til at installere ransomware med systemrettigheder. Ved næste genstart krypteres alle filer på computeren, og ransomwaren forsøger at sprede sig til andre maskiner på netværket.
Ofte stillede spørgsmål
Skal angriberen fysisk sidde ved computeren for at udnytte fejlen?
Ikke nødvendigvis. Angriberen skal have adgang som en almindelig bruger på den pågældende Windows-computer. Den adgang kan opnås på afstand, f.eks. hvis en medarbejders login-oplysninger er blevet stjålet via phishing, eller hvis computeren allerede er inficeret med anden skadelig software.
Hvad er en 'unquoted service path', og hvorfor er det farligt?
Når Windows starter en baggrundsservice (et program der kører automatisk), bruger det en filsti til at finde det rigtige program. Hvis stien ikke er omgivet af anførselstegn og indeholder mellemrum, kan Windows misforstå stien og i stedet køre et andet program, der ligger tidligere i mappestrukturen. En angriber kan udnytte dette ved at placere et ondsindet program på den forventede fejlfortolkede sti.
Er det kun version 5.2.9 der er ramt?
Ja, den beskrevne sårbarhed er specifikt identificeret i Wondershare PDFelement version 5.2.9. Nyere versioner af programmet er ikke bekræftet sårbare over for netop denne fejl. Det anbefales at opdatere til den seneste tilgængelige version.
Hvad sker der, hvis vi ikke opdaterer med det samme?
Så længe version 5.2.9 kører på jeres computere, er risikoen til stede. Hvis en angriber først får adgang til én computer og udnytter fejlen, kan vedkommende opnå fuld systemkontrol og potentielt sprede sig til resten af netværket. Jo længere I venter, jo større er vinduet for et angreb.
Kan vores antivirusprogram opdage et angreb via denne sårbarhed?
Muligvis, men det er ikke nok at stole udelukkende på antivirus. Hvis det ondsindede program er skræddersyet eller tilstrækkeligt sløret, kan antivirus overse det. Den bedste beskyttelse er at lukke selve sårbarheden ved at opdatere PDFelement.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Wondershare PDFelement 5.2.9 contains a privilege escalation vulnerability due to an unquoted service path in the WsAppService Windows service. Local attackers can place a malicious executable in the service path and execute code with LocalSystem privileges upon service restart or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
