Platform
windows
Component
spy-emergency
Opgelost in
23.0.206
CVE-2016-20056 beschrijft een unquoted service path kwetsbaarheid in Spy Emergency build 23.0.205. Deze kwetsbaarheid stelt lokale aanvallers in staat om privileges te escaleren door kwaadaardige uitvoerbare bestanden in de unquoted service path van de SpyEmrgHealth en SpyEmrgSrv services te plaatsen. Door de service te herstarten of het systeem opnieuw op te starten, kan de aanvaller code uitvoeren met LocalSystem privileges. Er is momenteel geen officiële patch beschikbaar.
CVE-2016-20056 treft Spy Emergency build 23.0.205, waarbij een ongenoteerde service pad kwetsbaarheid aanwezig is in de SpyEmrgHealth en SpyEmrgSrv services. Deze fout maakt het lokale aanvallers mogelijk om privileges te escaleren. Het probleem is dat service paden niet correct worden begrensd, waardoor een aanvaller een kwaadaardig uitvoerbaar bestand kan plaatsen op een locatie waar het systeem dit interpreteert als onderdeel van het service pad. Het opnieuw opstarten van de service of het opnieuw opstarten van het systeem zal vervolgens dit bestand uitvoeren met LocalSystem privileges, waardoor de aanvaller aanzienlijke controle over het getroffen systeem krijgt. De ernst van de kwetsbaarheid wordt beoordeeld als 7.8 op de CVSS schaal, wat een hoog risico aangeeft.
Het exploiteren van CVE-2016-20056 vereist lokale toegang tot het getroffen systeem. Een aanvaller met deze toegang kan eenvoudig een kwaadaardig uitvoerbaar bestand (bijvoorbeeld een trojan of ransomware) plaatsen op een locatie die de SpyEmrgHealth of SpyEmrgSrv service in zijn pad gebruikt. Het opnieuw opstarten van de service of het systeem zal vervolgens het bestand uitvoeren met LocalSystem privileges, waardoor het acties kan uitvoeren zoals het wijzigen van systeembestanden, het installeren van malware of het toegang krijgen tot gevoelige informatie. De eenvoud van de exploitatie maakt deze kwetsbaarheid bijzonder zorgwekkend, omdat deze kan worden benut door aanvallers met beperkte technische expertise.
Organizations using Spy Emergency version 23.0.205, particularly those with limited access controls or weak security configurations, are at significant risk. Systems where local accounts have administrative privileges are especially vulnerable, as an attacker can easily leverage this vulnerability to gain full control.
• windows / supply-chain:
Get-Service | Where-Object {$_.StartType -eq 'Automatic' -and $_.Path -match '\\'} | Select-Object Name, DisplayName, Path• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Actions.Path -match '\\'} | Select-Object TaskName, Actions• windows / supply-chain: Check Autoruns for services with unquoted paths using tools like Sysinternals Autoruns. • windows / supply-chain: Query Windows Defender for alerts related to suspicious service modifications or process creations in the Spy Emergency service directories.
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
Er is momenteel geen officiële fix beschikbaar van de Spy Emergency ontwikkelaar voor CVE-2016-20056. De meest effectieve mitigatie is het vermijden van het gebruik van Spy Emergency versie 23.0.205. Als het gebruik van deze versie onvermijdelijk is, implementeer dan extra beveiligingsmaatregelen, zoals het beperken van de toegang tot locaties waar servicebestanden worden opgeslagen en het monitoren van het systeem op verdachte activiteiten. Het up-to-date houden van het besturingssysteem en andere applicaties is ook cruciaal om de aanvalsoppervlakte te verkleinen. Overweeg te migreren naar een alternatieve oplossing indien beschikbaar en compatibel met uw behoeften.
Actualice Spy Emergency a una versión corregida. La vulnerabilidad reside en la ruta de servicio sin comillas, lo que permite la ejecución de código arbitrario. Actualizar a una versión posterior a la 23.0.205 debería solucionar el problema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
LocalSystem is een Windows gebruikersaccount met zeer hoge privileges, die toegang heeft tot de meeste systeemresources.
Controleer de versie van Spy Emergency die u gebruikt. Als het 23.0.205 is, is het kwetsbaar.
Beveiligingstools kunnen service paden scannen op onverwachte of verdachte bestanden. Raadpleeg uw beveiligingsprovider.
Koppel het systeem los van het netwerk, voer een volledige antivirus scan uit en overweeg om het systeem te herstellen vanuit een schone back-up.
Onderzoek andere softwareoplossingen die vergelijkbare functionaliteiten bieden en niet kwetsbaar zijn voor deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.