Plateforme
windows
Composant
spy-emergency
Corrigé dans
23.0.206
La vulnérabilité CVE-2016-20056 affecte Spy Emergency build 23.0.205 et se caractérise par un chemin de service non cité dans les services SpyEmrgHealth et SpyEmrgSrv. Cette faille permet à des attaquants locaux d'escalader leurs privilèges en insérant des exécutables malveillants dans le chemin non cité et en déclenchant un redémarrage du service ou du système.
La CVE-2016-20056 affecte Spy Emergency version 23.0.205, présentant une vulnérabilité de chemin de service non entre guillemets dans les services SpyEmrgHealth et SpyEmrgSrv. Cette faille permet à des attaquants locaux d'élever leurs privilèges. Le problème réside dans le fait que les chemins de service ne sont pas correctement délimités, ce qui permet à un attaquant de placer un exécutable malveillant dans un emplacement où le système l'interprétera comme faisant partie du chemin du service. Le redémarrage du service ou le redémarrage du système exécutera alors ce fichier avec les privilèges LocalSystem, accordant à l'attaquant un contrôle significatif sur le système affecté. La gravité de la vulnérabilité est notée 7,8 sur l'échelle CVSS, ce qui indique un risque élevé.
L'exploitation de la CVE-2016-20056 nécessite un accès local au système affecté. Un attaquant disposant de cet accès peut simplement placer un fichier exécutable malveillant (par exemple, un cheval de Troie ou un rançongiciel) dans un emplacement que le service SpyEmrgHealth ou SpyEmrgSrv utilise dans son chemin. Le redémarrage du service ou du système exécutera alors le fichier avec les privilèges LocalSystem, ce qui lui permettra d'effectuer des actions telles que la modification de fichiers système, l'installation de logiciels malveillants ou l'accès à des informations sensibles. La simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante, car elle peut être exploitée par des attaquants ayant des compétences techniques limitées.
Organizations using Spy Emergency version 23.0.205, particularly those with limited access controls or weak security configurations, are at significant risk. Systems where local accounts have administrative privileges are especially vulnerable, as an attacker can easily leverage this vulnerability to gain full control.
• windows / supply-chain:
Get-Service | Where-Object {$_.StartType -eq 'Automatic' -and $_.Path -match '\\'} | Select-Object Name, DisplayName, Path• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Actions.Path -match '\\'} | Select-Object TaskName, Actions• windows / supply-chain: Check Autoruns for services with unquoted paths using tools like Sysinternals Autoruns. • windows / supply-chain: Query Windows Defender for alerts related to suspicious service modifications or process creations in the Spy Emergency service directories.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Actuellement, il n'existe aucun correctif officiel fourni par le développeur de Spy Emergency pour la CVE-2016-20056. L'atténuation la plus efficace consiste à éviter d'utiliser Spy Emergency version 23.0.205. Si l'utilisation de cette version est inévitable, mettez en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès aux emplacements où les fichiers de service sont stockés et la surveillance du système à la recherche d'activités suspectes. Il est également essentiel de maintenir le système d'exploitation et les autres applications à jour afin de réduire la surface d'attaque. Envisagez de migrer vers une solution alternative si elle est disponible et compatible avec vos besoins.
Actualice Spy Emergency a una versión corregida. La vulnerabilidad reside en la ruta de servicio sin comillas, lo que permite la ejecución de código arbitrario. Actualizar a una versión posterior a la 23.0.205 debería solucionar el problema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
LocalSystem est un compte utilisateur Windows disposant de privilèges très élevés, ayant accès à la plupart des ressources système.
Vérifiez la version de Spy Emergency que vous utilisez. Si c'est 23.0.205, elle est vulnérable.
Des outils de sécurité peuvent analyser les chemins de service à la recherche de fichiers inattendus ou suspects. Consultez votre fournisseur de sécurité.
Déconnectez le système du réseau, effectuez une analyse antivirus complète et envisagez de restaurer le système à partir d'une sauvegarde propre.
Recherchez d'autres solutions logicielles qui offrent des fonctionnalités similaires et qui ne sont pas vulnérables à cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.