PT-2024-16343 · Rapid7 · Rapid7 Velociraptor Msi Installer
Jean-Baptiste Mesnard-Sense
·
Publicado
2024-11-07
·
Atualizado
2024-11-22
·
CVE-2024-10526
CVSS v4.0
8.6
Alta
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y/R:U/V:D/RE:L/U:Red |
Nome do software vulnerável e versões afetadas
Versões do instalador MSI do Rapid7 Velociraptor anteriores à 0.73.3
Descrição
O problema decorre do fato de o instalador MSI do Rapid7 Velociraptor criar o diretório de instalação com permissão WRITE DACL para o grupo BUILTINUsers. Isso permite que usuários locais que não são administradores concedam a si mesmos a permissão de Controle Total sobre os arquivos do Velociraptor. Ao modificar os arquivos do Velociraptor, usuários locais podem corromper o binário e fazer com que o serviço do Velociraptor execute código arbitrário como usuário SYSTEM, ou substituir completamente o binário do Velociraptor.
Recomendações
Atualize para a versão 0.73.3 para corrigir o problema.
Como solução temporária, considere restringir o acesso ao diretório de instalação para impedir que usuários locais modifiquem os arquivos do Velociraptor até que a atualização seja aplicada.
Correção
Incorrect Permission
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rapid7 Velociraptor Msi Installer