0
0
Uma vulnerabilidade no popular serviço/plataforma de acesso remoto ConnectWise Control poderia ter sido aproveitada por golpistas para facilitar o comprometimento dos computadores dos alvos, descobriram os pesquisadores do Guardio.
Ao abusar da opção de teste de 14 dias com todos os recursos para esse serviço de nuvem hospedado, os golpistas já estão aproveitando a plataforma sem nenhum custo, mas a vulnerabilidade poderia permitir que eles removessem um alerta que pode quebrar a ilusão de que os golpistas estão tentando crio.
O que é o Controle ConnectWise?
O ConnectWise Control (anteriormente ScreenConnect) é uma solução frequentemente usada por provedores de serviços gerenciados e de TI e equipes de suporte e help desk para se conectar remotamente às máquinas dos clientes, solucionar problemas e corrigir o que precisa ser consertado.
Infelizmente, ele também é usado por invasores para fornecer ransomware , baixar cargas maliciosas e, de acordo com os pesquisadores do Guardio, para se passar por suporte técnico e obter acesso remoto sub-repticiamente aos computadores dos alvos.
A vulnerabilidade descoberta
Depois de se inscrever para uma avaliação gratuita com uma conta de e-mail anônima e dados pessoais falsos, os invasores podem usar a plataforma para criar um portal de suporte convincente com um agente de ferramenta de acesso remoto de nível corporativo. Isso porque, mesmo na versão de avaliação, o portal de suporte pode ser personalizado para refletir uma marca específica.
“Para um golpista, tudo o que resta é ligar para as vítimas e manipulá-las como se tivessem algum problema técnico de computador ou, alternativamente, como em nosso exemplo – enviar a elas uma fatura falsa de algum serviço no qual nunca se registraram e esperar que elas acessem o falso portal de serviço de reembolso e insira o código da ‘fatura’ (acionando a instalação do RAT dedicado)”, explicaram os pesquisadores .
Para aumentar o problema, o alerta que a versão de teste mostra aos usuários finais – aconselhando-os a ter cuidado com quem eles estão permitindo acesso e controle de seu dispositivo e notificando-os de que a solução ConnectWise Control em uso é uma versão de teste – pode ser facilmente removido explorando uma vulnerabilidade de cross-site scripting (XSS) armazenada (persistente) no aplicativo da web.
“O administrador do webapp tem controle sobre textos e imagens armazenados nos servidores e servidos como parte do webapp do portal para qualquer visitante. Para a maioria dos elementos textuais personalizáveis, há validação e sanitização decentes”, descobriram os pesquisadores.
Infelizmente, o elemento Page.Title não foi protegido de forma semelhante contra abuso, permitindo que invasores injetassem códigos de exploração maliciosos, incluindo códigos que permitem aos invasores alterar ou ocultar qualquer elemento da página (por exemplo, a caixa de alerta acima mencionada).
A gota d’água?
Os pesquisadores notificaram a ConnectWise sobre essa vulnerabilidade simples, mas poderosa, no início deste ano, e a empresa a corrigiu na versão 22.6 da solução, limpando corretamente o elemento Page.Title .
Além do mais, a divulgação da vulnerabilidade os levou a fazer uma grande mudança para tornar a vida dos golpistas mais difícil: eles desabilitaram o recurso de personalização para contas de teste.
A vulnerabilidade XSS agora corrigida já foi explorada na natureza?
Um porta-voz do Guardio disse ao Help Net Security que eles não viram nenhuma exploração em estado selvagem, mas que, é claro, eles não tinham as ferramentas ou privilégios do ConnectWise para verificar todas as instâncias online. “Não sabemos se o ConnectWise escaneou ou encontrou exploits além do nosso POC”, acrescentaram.
FONTE: HELPNET SECURITY