Filip Dragovic

**Nome do Software Vulnerável e Versões Afetadas** Bitdefender Total Security versão 27.0.46.231 **Descrição** Existe uma vulnerabilidade de elevação de privilégio local no Bitdefender Total Security. Um atacante com baixos privilégios pode obter privilégios elevados devido à validação inadequada de link simbólico quando o `bdservicehost.exe` exclui arquivos de um diretório gravável pelo usuário, especificamente `C:ProgramDataAtcFeedback`. Isso permite a exclusão arbitrária de arquivos. O problema é combinado com uma operação de cópia de arquivo durante eventos de rede e um contorno de driver de filtro através de injeção de DLL, resultando em cópia arbitrária de arquivos e execução de código com privilégios de usuário elevados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Intercept X for Windows anteriores à 2024.3.2 **Descrição** Uma vulnerabilidade relacionada a permissões de registro no atualizador do Intercept X for Windows pode permitir que um usuário local obtenha privilégios de nível SYSTEM durante uma atualização do produto. **Recomendações** Atualize o Intercept X for Windows para a versão 2024.3.2 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Microsoft PC Manager (versões afetadas não especificadas) Descrição: O problema está relacionado ao controle de acesso inadequado no Microsoft PC Manager, permitindo que um atacante autorizado eleve privilégios localmente. Isso pode levar a uma vulnerabilidade de escalonamento de privilégio local. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** IBM webMethods Integration Server versões 10.5, 10.7, 10.11 e 10.15 **Descrição** O problema está relacionado a um ataque de injeção de entidade externa XML (XXE) ao processar dados XML. Um atacante remoto autenticado poderia explorar isso para executar comandos arbitrários. **Recomendações** Para as versões 10.5, 10.7, 10.11 e 10.15 do IBM webMethods Integration Server, considere desabilitar o processamento de entidades externas XML até que um patch esteja disponível. Restrinja o acesso aos módulos de processamento de dados XML para minimizar o risco de exploração. Evite usar funções de análise XML vulneráveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Oracle VM VirtualBox anteriores à 7.0.16 **Descrição** O problema está relacionado a erros no processamento de dados de entrada no componente Core do Oracle VM VirtualBox. Isso pode ser explorado por um invasor para elevar privilégios ou executar código arbitrário por meio da manipulação de arquivos de log. A vulnerabilidade se aplica apenas a hosts Windows e pode resultar no controle do Oracle VM VirtualBox. Ataques bem-sucedidos podem comprometer a confidencialidade, a integridade e a disponibilidade do sistema. **Recomendações** Para versões do Oracle VM VirtualBox anteriores à 7.0.16, atualize para a versão 7.0.16 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Core ou limitar a capacidade de manipular arquivos de log no diretório C:ProgramDataVirtualBox para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Avira Prime (affected versions not specified) **Description** The issue is related to the Avira Spotlight Service in Avira Prime, which incorrectly handles symbolic links before accessing a file. This can be exploited by a local attacker to escalate privileges and execute arbitrary code in the context of SYSTEM. The attacker must first obtain the ability to execute low-privileged code on the target system. The vulnerability allows an attacker to create a symbolic link and abuse the service to delete a file, leading to privilege escalation. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** G Data Total Security (affected versions not specified) **Description** This issue allows local attackers to escalate privileges on affected installations of G Data Total Security. An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this issue. The specific flaw exists within the GDBackupSvc service, where an attacker can create a symbolic link to abuse the service and create a file with a permissive DACL, potentially leading to privilege escalation and execution of arbitrary code in the context of SYSTEM. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Check Point ZoneAlarm Extreme Security (affected versions not specified) **Description** This issue allows local attackers to escalate privileges on affected installations. The flaw exists within the Forensic Recorder service, where an attacker can create a symbolic link to abuse the service and overwrite arbitrary files, potentially executing arbitrary code in the context of SYSTEM. An attacker must first obtain the ability to execute low-privileged code on the target system to exploit this issue. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Visual Studio (affected versions not specified) **Description** The issue is related to insufficient access restrictions in Microsoft Visual Studio, which can be exploited to elevate privileges. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** .NET Framework (affected versions not specified) **Description** The issue is related to incorrect cleanup or release of resources in the .NET Framework, which can be exploited to cause a denial of service. This allows an attacker to affect the system. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Windows Malicious Software Removal Tool (affected versions not specified) **Description** The issue is related to synchronization errors when using a shared resource in the Malicious Software Removal Tool (MSRT), which can allow an attacker to elevate their privileges. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Microsoft Windows System Monitor (Sysmon) (versões afetadas não especificadas) **Descrição** O problema está relacionado a um controle de acesso insuficiente no serviço Microsoft Windows System Monitor (Sysmon), o que pode permitir que um invasor eleve seus privilégios. A vulnerabilidade pode ser explorada para realizar a exclusão arbitrária de arquivos e a gravação arbitrária limitada de arquivos, levando potencialmente à execução de código como NT AuthoritySystem. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Secure Client (anteriormente Cisco AnyConnect Secure Mobility Client) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no processo de atualização do cliente do Cisco Secure Client Software para Windows poderia permitir que um invasor local autenticado, com privilégios baixos, elevasse seus privilégios para os de SYSTEM. O processo de atualização do cliente é executado após o estabelecimento de uma conexão VPN bem-sucedida. Essa vulnerabilidade existe porque permissões inadequadas são atribuídas a um diretório temporário criado durante o processo de atualização. Um invasor poderia explorar essa vulnerabilidade abusando de uma função específica do processo de instalação do Windows, como o processo `vpndownloader.exe`, que cria um diretório em `c:windowstemp` com permissões padrão. Uma exploração bem-sucedida poderia permitir que o invasor executasse código com privilégios de SYSTEM, possibilitando potencialmente a exclusão arbitrária de arquivos como a conta NT AuthoritySYSTEM. **Recomendações** Como solução temporária, considere restringir o acesso ao processo `vpndownloader.exe` até que uma correção esteja disponível. Evite usar as permissões padrão para o diretório temporário criado pelo `vpndownloader.exe` no diretório `c:windowstemp`. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Avira Security anteriores à 1.1.72.30556 **Descrição** O problema está relacionado à funcionalidade do Atualizador de Software do Avira Security, que permite que um invasor com acesso de gravação ao sistema de arquivos eleve seus privilégios em determinados cenários. Isso se deve à possibilidade de baixar arquivos arbitrários. **Recomendações** Para versões anteriores à 1.1.72.30556, atualize para a versão 1.1.72.30556 do Avira Security para resolver o problema. Como solução temporária, considere restringir o acesso de gravação ao sistema de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Serviço de Backup do Windows anteriores à versão corrigida **Descrição** O problema está relacionado a erros no gerenciamento de privilégios dentro do Serviço de Backup do Windows, permitindo que um invasor eleve seus privilégios ao nível do SYSTEM. Isso pode afetar o sistema, possibilitando atividades maliciosas. Foram divulgadas provas de conceito (PoCs) públicas, demonstrando a capacidade de excluir qualquer arquivo e iniciar um shell com privilégios elevados. **Recomendações** Para versões do Serviço de Backup do Windows anteriores à versão corrigida, considere desativar o serviço vulnerável até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao Serviço de Backup do Windows para minimizar o risco de ataques de elevação de privilégios. Evite usar o serviço para operações críticas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.