Plataforma
windows
Componente
spy-emergency
Corrigido em
23.0.206
A vulnerabilidade CVE-2016-20056 reside no Spy Emergency, especificamente na versão 23.0.205, e se manifesta como um caminho de serviço não entre aspas (unquoted service path). Essa falha permite que um atacante local insira arquivos executáveis maliciosos, resultando na escalada de privilégios e potencial execução de código com os privilégios do sistema. Atualmente, não há uma correção oficial disponível para esta vulnerabilidade.
A CVE-2016-20056 afeta o Spy Emergency versão 23.0.205, apresentando uma vulnerabilidade de caminho de serviço não entre aspas nos serviços SpyEmrgHealth e SpyEmrgSrv. Essa falha permite que atacantes locais elevem privilégios. O problema reside no fato de que os caminhos de serviço não são delimitados corretamente, permitindo que um atacante coloque um arquivo executável malicioso em um local onde o sistema o interpretará como parte do caminho do serviço. Reiniciar o serviço ou reiniciar o sistema executará esse arquivo com privilégios de LocalSystem, concedendo ao atacante controle significativo sobre o sistema afetado. A gravidade da vulnerabilidade é classificada como 7,8 na escala CVSS, indicando um risco alto.
A exploração da CVE-2016-20056 requer acesso local ao sistema afetado. Um atacante com este acesso pode simplesmente colocar um arquivo executável malicioso (por exemplo, um trojan ou ransomware) em um local que o serviço SpyEmrgHealth ou SpyEmrgSrv utilize em seu caminho. Reiniciar o serviço ou o sistema, então, executará o arquivo com os privilégios de LocalSystem, permitindo que ele realize ações como modificar arquivos do sistema, instalar malware ou acessar informações confidenciais. A simplicidade da exploração torna esta vulnerabilidade particularmente preocupante, pois pode ser utilizada por atacantes com conhecimentos técnicos limitados.
Organizations using Spy Emergency version 23.0.205, particularly those with limited access controls or weak security configurations, are at significant risk. Systems where local accounts have administrative privileges are especially vulnerable, as an attacker can easily leverage this vulnerability to gain full control.
• windows / supply-chain:
Get-Service | Where-Object {$_.StartType -eq 'Automatic' -and $_.Path -match '\\'} | Select-Object Name, DisplayName, Path• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Actions.Path -match '\\'} | Select-Object TaskName, Actions• windows / supply-chain: Check Autoruns for services with unquoted paths using tools like Sysinternals Autoruns. • windows / supply-chain: Query Windows Defender for alerts related to suspicious service modifications or process creations in the Spy Emergency service directories.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
Atualmente, não existe uma correção oficial (fix) fornecida pelo desenvolvedor do Spy Emergency para a CVE-2016-20056. A mitigação mais eficaz é evitar o uso do Spy Emergency versão 23.0.205. Se for imprescindível usar esta versão, recomenda-se implementar medidas de segurança adicionais, como restringir o acesso aos locais onde os arquivos de serviço são armazenados e monitorar o sistema em busca de atividades suspeitas. Manter o sistema operacional e outros aplicativos atualizados também é crucial para reduzir a superfície de ataque. Considere a possibilidade de migrar para uma solução alternativa, se disponível e compatível com suas necessidades.
Actualice Spy Emergency a una versión corregida. La vulnerabilidad reside en la ruta de servicio sin comillas, lo que permite la ejecución de código arbitrario. Actualizar a una versión posterior a la 23.0.205 debería solucionar el problema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
LocalSystem é uma conta de usuário Windows com privilégios muito altos, tendo acesso à maioria dos recursos do sistema.
Verifique a versão do Spy Emergency que você está usando. Se for 23.0.205, é vulnerável.
Ferramentas de segurança podem escanear caminhos de serviço em busca de arquivos inesperados ou suspeitos. Consulte seu provedor de segurança.
Desconecte o sistema da rede, execute uma verificação antivírus completa e considere a possibilidade de restaurar o sistema a partir de um backup limpo.
Pesquise outras soluções de software que ofereçam funcionalidades semelhantes e que não sejam vulneráveis a esta vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.