Luka CVE-2020-9332 znajduje się w sterowniku magistrali „USB for Remote Desktop” opracowanym przez firmę FabulaTech. Błąd umożliwia podwyższenie uprawnień i w efekcie podpięcie do docelowej maszyny fałszywego urządzenia.

Rozwiązania przekierowujące USB działają poprzez oprogramowanie klient/serwer. Informacje o przekierowanym urządzeniu zbiera oprogramowanie klienckie i następnie przesyła na serwer działający po stronie zdalnej maszyny. Z pomocą sterownika magistrali, serwer tworzy i następnie programuje wirtualny obiekt, który ma powtórzyć całą komunikację pomiędzy systemami/urządzeniami wejścia-wyjścia a rzeczywistym urządzeniem.

USB for Remote Desktop - tak przebiega dodawanie fałszywego urządzenia.
Źródło: Sentinel LABS

Sterownik magistrali  wywołuje niepewną procedurę IoCreateDevice, która nie umożliwia zablokowania dostępu mniej uprzywilejowanym podmiotom. W ten właśnie sposób atakujący są w stanie niejako zdezorientować system operacyjny postawiony na zdalnej maszynie. W efekcie uważa ona, że podłączono do niej prawdziwe urządzenie USB. Ponadto usługi FabulaTech działające na koncie LocalSystem, posiadają szeroki zakres uprawnień.

Atakujący są w stanie symulować dowolne urządzenie USB. Fałszywy kursor? Jak najbardziej. Jednak istneiją bardziej zaawansowane scenariusze ataku. Przestępcy mogą dodać kartę sieciową Ethernet i w ten sposób przechwytywać aktualny ruch.

Zespół SentinelOne – który namierzył podatność – próbował skontaktować się z FabulaTech dwukrotnie. Najpierw 29 stycznia, a następnie ponownie 4 lutego. Próby zgłoszenia błędu były raczej bezowocne. W końcu jednak FabulaTech wydało oficjalne oświadczenie. Dowiadujemy się z niego, że błąd zostanie naprawiony w najkrótszym możliwym czasie w najbliższej przyszłości. Miło wiedzieć, tym bardziej, że firma posiada bardzo rozpoznawalnych klientów. Wśród nich są m.in. Google, Microsoft, BMW, MasterCard, NASA, Reuters, Intel, Shell, Xerox, Harvard, General Electric i Raiffeisen Bank.

Źródło