CVE-2023-54353: Sårbarhed i Chromacam 4.0.3.0
En fejl i Chromacam 4.0.3.0 lader angribere med lokal adgang køre skadelig kode med de højeste systemrettigheder.
Hvad er det?
Chromacam er et program til virtuelle baggrunde i videomøder. I version 4.0.3.0 er der en fejl i den måde, programmet registrerer sin baggrundsservice (PsyFrameGrabberService) på. Stien til servicefilen er ikke sat i anførselstegn, hvilket betyder, at Windows kan blive narret til at køre en anden fil i stedet. En angriber med adgang til computeren kan placere en skadelig fil i en bestemt mappe, og næste gang computeren starter, vil Windows automatisk køre den skadelige fil med fulde systemrettigheder. Fejltypen kaldes en unquoted service path-sårbarhed (CWE-428).
Hvem rammer det?
Sårbarheden rammer virksomheder og medarbejdere, der har Chromacam version 4.0.3.0 installeret på deres Windows-computere — typisk brugt til videomøder med virtuel baggrund. Risikoen er størst, hvis:
- Medarbejdere har administratorrettigheder eller skriveadgang til C: eller C:Program Files (x86)Personify
- Computere deles af flere brugere
- Virksomheden ikke har stramme adgangsstyringspolitikker på sine Windows-maskiner
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende køre vilkårlig kode med LocalSystem-rettigheder — det vil sige de højest mulige rettigheder på en Windows-computer. Det kan betyde:
- Fuld kontrol over den ramte computer
- Installation af ransomware, spyware eller bagdøre
- Adgang til alle filer, adgangskoder og systemer, computeren er forbundet til
- Mulighed for at sprede angrebet videre til andre computere på virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.8 ud af 10, hvilket klassificeres som alvorlig. Angrebet kræver, at angriberen allerede har lokal adgang til computeren — det behøver ikke være fysisk adgang, da det også gælder en indlogget bruger med begrænsede rettigheder eller adgang via fjernskrivebord. Kompleksiteten er lav, og der kræves ingen brugerinteraktion, når angrebet først er sat op. Det faktum at koden køres med de højeste systemrettigheder, gør konsekvenserne særligt alvorlige.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Find ud af om I bruger Chromacam: Tjek om programmet er installeret på virksomhedens computere ved at søge efter det i Kontrolpanel > Programmer.
- Opdater eller afinstaller: Undersøg om der er en opdatering til Chromacam tilgængelig. Bruger I ikke aktivt programmet, skal det afinstalleres.
- Begræns skriveadgang: Sørg for at medarbejdere ikke har skriveadgang til C: eller C:Program Files (x86)Personify uden at det er nødvendigt for deres arbejde.
- Gennemgå brugerrettigheder: Medarbejdere bør generelt ikke have lokale administratorrettigheder på deres computere. Hvis de har det, bør dette ændres.
- Hold øje med mistænkelig aktivitet: Tjek om der ligger ukendte .exe-filer i C: eller under Personify-mappen.
Ret inden for 1-2 uger
Vi anbefaler, at du som første skridt kortlægger, om Chromacam er installeret i din virksomhed, og dernæst afinstallerer programmet, hvis det ikke aktivt bruges. Hvis programmet er nødvendigt, bør du straks begrænse skriveadgangen til de relevante mapper og sikre, at medarbejdere ikke kører med administratorrettigheder i det daglige arbejde. Kontakt os, hvis du er usikker på, hvordan du gennemgår rettighedsstyringen på jeres computere.
Tidslinje
Konkrete eksempler
Medarbejder med begrænsede rettigheder eskalerer til fuld systemkontrol
En medarbejder med en standard Windows-konto opdager, at vedkommende har skriveadgang til C:Program Files (x86)Personify. Medarbejderen placerer en skadelig fil ved navn PsyFrameGrabberService.exe i mappen. Næste gang computeren genstarter, kører Windows automatisk den skadelige fil med LocalSystem-rettigheder i stedet for den rigtige Chromacam-service — og medarbejderen har nu fuld kontrol over systemet.
Angriber får fodfæste via phishing og udnytter Chromacam
En ekstern angriber sender en phishing-mail til en medarbejder, som klikker på et link og ubevidst installerer en fjernadgangstrojan. Angriberen bruger denne adgang til at placere en skadelig Program.exe-fil i C:. Når computeren næste gang starter, fortolker Windows stien forkert og kører angriberes fil med de højeste systemrettigheder — hvilket giver angriberen fuld kontrol og mulighed for at sprede sig i virksomhedens netværk.
Ransomware installeres via Chromacam-sårbarhed
En ondsindet aktør med adgang til en delt computer placerer en ransomware-executable i Personify-mappen. Når servicen starter ved næste boot, krypterer ransomwaren alle filer på computeren og eventuelt tilsluttede netværksdrev — med de højeste Windows-rettigheder, hvilket gør det langt sværere at begrænse skaden.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-sårbarhed?
Når Windows starter en systemservice (et baggrundsprogram), læser det en sti til programfilen. Hvis stien indeholder mellemrum og ikke er sat i anførselstegn, kan Windows blive forvirret og forsøge at køre en anden fil i stedet. En angriber kan udnytte dette ved at placere en skadelig fil, som Windows så kører med høje rettigheder ved opstart.
Skal angriberen have fysisk adgang til computeren?
Nej, ikke nødvendigvis. En angriber skal have lokal adgang til Windows-kontoen — det kan være en utilfreds medarbejder, en bruger med begrænsede rettigheder, eller en angriber der allerede har fået fodfæste via eksempelvis phishing. Fysisk tilstedeværelse er ikke et krav.
Bruger vi Chromacam — vi ved det ikke helt sikkert?
Du kan tjekke det ved at gå til Kontrolpanel > Programmer og funktioner på Windows og søge efter ‘Chromacam’ eller ‘Personify’. Det er også muligt at søge i C:Program Files (x86) efter en mappe kaldet ‘Personify’. Har du mange computere, kan din IT-ansvarlige hjælpe med at lave en samlet søgning.
Er der en officiel patch (rettelse) fra Chromacam?
På nuværende tidspunkt er der ikke bekræftet en officiel opdatering der løser problemet. Vi anbefaler at holde øje med opdateringer fra producenten og i mellemtiden følge de beskyttelsestrin, vi har beskrevet ovenfor.
Kan vores antivirus opdage dette angreb?
Antivirus kan i nogle tilfælde opdage den skadelige fil, men det er ikke en garanti. Angribere kan tilpasse filer for at undgå opdagelse. Den bedste beskyttelse er at fjerne sårbarheden ved enten at opdatere eller afinstallere Chromacam og begrænse skriveadgangen til relevante mapper.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Chromacam 4.0.3.0 contains an unquoted service path vulnerability in the PsyFrameGrabberService that allows local attackers to execute arbitrary code by placing malicious executables in unquoted path directories. Attackers with write access to C: or subdirectories like C:Program Files (x86)Personify can place a malicious Program.exe or PsyFrameGrabberService.exe file that executes with LocalSystem privileges when the service starts automatically at boot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
