CVE-2022-50971: Malwarebytes 4.5 sårbarhed forklaret
Fejl i Malwarebytes 4.5 lader en lokal angriber overtage hele systemet via en unoteret servicesti.
Hvad er det?
CVE-2022-50971 er en sårbarhed i sikkerhedsprogrammet Malwarebytes 4.5. Fejlen ligger i den måde, Windows-tjenesten MBAMService er registreret på: stien til programfilen er ikke sat i anførselstegn (såkaldt ‘unquoted service path’). Det betyder, at Windows kan blive narret til at køre et andet program i stedet for det rigtige, når tjenesten starter op. En angriber, der allerede har begrænset adgang til computeren, kan udnytte dette til at placere en ondsindet fil på en bestemt placering og få den udført med fulde systemrettigheder (LocalSystem) — altså de højeste rettigheder, Windows overhovedet giver.
Hvem rammer det?
Sårbarheden rammer virksomheder og privatpersoner, der har Malwarebytes 4.5 installeret på Windows-computere. Den kræver, at angriberen allerede har adgang til computeren med en almindelig brugerkonto — for eksempel en medarbejder med ondsindede hensigter, en ekstern angriber der allerede har fået fodfæste via phishing eller en anden sårbarhed, eller malware der allerede kører på maskinen. SMV’er der bruger Malwarebytes som primært antivirusprogram er særligt relevante.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende:
- Eskalere sine rettigheder til det højeste niveau på systemet (LocalSystem)
- Installere yderligere skadelig software uden begrænsninger
- Slette, ændre eller stjæle alle filer på computeren
- Deaktivere antivirusprogrammet eller andre sikkerhedsforanstaltninger
- Sprede sig til andre systemer på virksomhedens netværk
Konsekvensen kan i værste fald være et fuldt kompromitteret system, datatyveri eller ransomware-angreb.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.8 (Alvorlig). Angrebet kræver lokal adgang og en lavprivilegeret konto — det sænker risikoen lidt sammenlignet med angreb udefra. Til gengæld er kompleksiteten lav, og ingen brugerinteraktion er nødvendig, når angriberen først er inde. Fortrolighed, integritet og tilgængelighed er alle fuldt påvirket, hvilket betyder total kontrol over det ramte system. Det er særligt bekymrende, fordi det rammer selve sikkerhedssoftwaren — den ting der skulle beskytte dig.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek din version: Åbn Malwarebytes og find versionsnummeret under ‘Indstillinger’ → ‘Om’. Er du på version 4.5, er du potentielt sårbar.
- Opdatér Malwarebytes: Hent og installér den seneste version fra malwarebytes.com. Opdateringen bør løse den fejlbehæftede servicekonfiguration.
- Begræns lokale brugerrettigheder: Sørg for, at medarbejdere ikke har administratorrettigheder på deres computere som standard — det reducerer skadevirkningerne markant.
- Gennemgå adgangsstyring: Overvej hvem der har fysisk eller fjernadgang til jeres maskiner, og om det er nødvendigt.
- Hold øje med usædvanlig aktivitet: Hvis du mistænker, at sårbarheden allerede er udnyttet, kontakt en IT-sikkerhedsekspert til en gennemgang.
Opdatér snarest muligt
Opdatér Malwarebytes til den nyeste version hurtigst muligt — det er den vigtigste handling du kan tage lige nu. Kombinér det med at gennemgå, om dine medarbejdere har unødvendigt høje rettigheder på deres computere. En grundregel i cybersikkerhed er, at brugere kun skal have de rettigheder de har brug for — det begrænser skaden, selv hvis en angriber kommer ind. Kontakt os, hvis du er usikker på om din virksomhed er berørt.
Tidslinje
Konkrete eksempler
Ondsindet medarbejder eskalerer rettigheder
En medarbejder med en standard Windows-brugerkonto ønsker at få administratoradgang. Vedkommende ved, at Malwarebytes 4.5 er installeret med en unoteret servicesti. Medarbejderen placerer et ondsindet program med et strategisk valgt filnavn i en overordnet mappe i stien. Næste gang computeren genstartes, kører Windows utilsigtet det ondsindede program med LocalSystem-rettigheder, og medarbejderen har nu fuld kontrol over maskinen.
Angriber med fodfæste via phishing
En ekstern angriber narrer en medarbejder til at klikke på et phishing-link, der installerer en bagdør med begrænsede brugerrettigheder. Angriberen opdager, at Malwarebytes 4.5 er installeret og udnytter den unoterede servicesti til at placere en fil, der giver fuld systemadgang ved næste serviceopstart. Derfra kan angriberen deaktivere sikkerhedsprogrammer, stjæle data og sprede sig til virksomhedens øvrige systemer.
Ransomware-angreb med eskalerede rettigheder
Malware, der er sluppet igennem den indledende sikkerhedsscanning, kører med begrænsede rettigheder på en computer. Malwaren udnytter CVE-2022-50971 til at eskalere til LocalSystem og deaktiverer herefter Malwarebytes og andre sikkerhedsværktøjer. Med fuld adgang krypterer ransomwaren alle filer på computeren og tilgængelige netværksdrev og kræver løsesum — en situation der kunne have været afværget med en simpel softwareopdatering.
Ofte stillede spørgsmål
Hvad er en 'unoteret servicesti', og hvorfor er det farligt?
Når Windows starter en tjeneste (et baggrundsprogram), skal den finde programfilen. Hvis stien til filen indeholder mellemrum og ikke er sat i anførselstegn, kan Windows misforstå stien og lede efter programmet på forkerte steder — og dermed utilsigtet køre en ondsindet fil, som en angriber har placeret der. Det er præcis det, der sker her med Malwarebytes’ MBAMService.
Skal angriberen sidde fysisk foran min computer for at udnytte dette?
Ikke nødvendigvis. En angriber der allerede har fjernadgang til en konto på computeren — for eksempel via stjålne loginoplysninger eller anden malware — kan også udnytte fejlen. Det kræver dog, at angriberen allerede har en form for adgang til systemet. Det er ikke et angreb, der kan udføres direkte fra internettet uden forudgående adgang.
Er det ikke paradoksalt, at det er antivirusprogrammet selv der har en sårbarhed?
Jo, og det er netop det der gør denne type sårbarhed særlig alvorlig. Sikkerhedssoftware kører typisk med meget høje systemrettigheder, fordi den skal kunne beskytte hele maskinen. Det betyder desværre også, at fejl i den slags software kan give en angriber adgang til de allerhøjeste rettigheder. Det er et velkendt problem i branchen, og det understreger vigtigheden af at holde al software opdateret — også sikkerhedsværktøjerne.
Gælder dette alle versioner af Malwarebytes?
Sårbarheden er specifikt dokumenteret i Malwarebytes version 4.5. Nyere versioner forventes at have rettet problemet. Tjek din version og opdatér til den seneste tilgængelige udgave. Har du tvivl om hvilken version du kører, kan du finde oplysningen under programmets ‘Om’-side eller i Windows’ liste over installerede programmer.
Kan mit antivirusprogram opdage, hvis nogen forsøger at udnytte denne sårbarhed?
Det er ironisk nok svært at sige med sikkerhed, da det er Malwarebytes selv der er sårbart. Generelt er denne type angreb (privilege escalation via service paths) ikke altid let at opdage med standard antivirusscanning, da den ondsindede fil kan se legitim ud. Det er en af grundene til, at forebyggelse — altså at opdatere softwaren — er vigtigere end detektion i dette tilfælde.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Malwarebytes 4.5 contains an unquoted service path vulnerability in the MBAMService executable that allows local attackers to escalate privileges by injecting malicious code into the system root path. Attackers can place executable files in unquoted path directories that execute with LocalSystem privileges during service startup or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
