Une vulnérabilité dans l’accès à distance populaire au service/à la plate-forme ConnectWise Control aurait pu être exploitée par des escrocs pour simplifier les systèmes informatiques des cibles compromettantes, ont découvert les chercheurs de Guardio.
En abusant pleinement – offre un choix d’essai de 14 jours pour ce service cloud hébergé, les fraudeurs tirent déjà le meilleur parti de la plate-forme sans frais, mais la vulnérabilité leur a peut-être permis de supprimer une alerte qui peut briser l’illusion que les fraudeurs tentent de créer.
Qu’est-ce que ConnectWise Control ?
ConnectWise Control (anciennement ScreenConnect) est un service fréquemment utilisé par les fournisseurs de services informatiques et les équipes d’assistance et d’assistance pour se connecter depuis un autre emplacement aux fabricants des clients , résolvez le problème et corrigez ce qui doit être réparé.
Il est également utilisé par les agresseurs pour diffuser des rançongiciels, télécharger des charges utiles malveillantes et, selon les chercheurs de Guardio, pour se faire passer pour une assistance technique et obtenir subrepticement un accès à distance. ss aux systèmes informatiques des cibles.
La vulnérabilité trouvée
Après s’être inscrit pour un essai gratuit avec un compte de messagerie confidentiel et de fausses informations individuelles, les ennemis peuvent utiliser la plate-forme pour produire un persuader le site Web d’assistance avec un représentant de l’outil d’accès à distance de niveau entreprise. En effet, même dans la version d’essai, le portail d’assistance peut être personnalisé pour refléter une image de marque spécifique.
« Pour un arnaqueur, il ne reste plus qu’à appeler les victimes et à les manipuler comme si elles avez un problème technique informatique, ou en plus, comme dans notre exemple, envoyez-leur une fausse facture pour un service auquel ils ne se sont jamais inscrits et attendez qu’ils se rendent sur le faux portail du service de remboursement et qu’ils obtiennent le code de « facture » (déclenchant le configuration RAT) », ont expliqué les chercheurs.
Pour contribuer au problème, l’alerte que la version d’essai révèle aux utilisateurs finaux – leur recommandant de faire attention à qui ils autorisent l’accès et le contrôle de leur appareil et les informant que le service ConnectWise Control utilisé est une version d’essai – peut être facilement éliminé en utilisant une vulnérabilité de script intersite (XSS) enregistrée (persistante) dans l’application Web.
« L’administrateur de l’application Web contrôle le texte et les images conservés sur les serveurs et fonctionne comme p art de la webapp du portail à tout visiteur. Pour la majorité des composants textuels ajustables, il y a une bonne validation et un bon assainissement », ont découvert les scientifiques.
Malheureusement, l’élément Page.Title n’a pas été également protégé contre les abus, permettant les agresseurs pour injecter du code destructeur, consistant en un code qui permet aux adversaires de modifier ou de masquer n’importe quel aspect de la page (par exemple, la boîte d’alerte mentionnée précédemment).
Le coup final ?
Les chercheurs ont informé ConnectWise de cette vulnérabilité simple mais efficace plus tôt cette année, et l’entreprise l’a réparée dans la v22.6 de la solution en stérilisant correctement le composant Page.Title.
De plus, la divulgation de la vulnérabilité les a poussés à faire un énorme changement pour rendre la vie des escrocs plus difficile : ils ont désactivé la fonction de personnalisation pour les comptes d’essai.
La vulnérabilité XSS désormais corrigée a-t-elle déjà été utilisée ? dans la nature, cependant ?
Un représentant de Guardio a informé Help Net Security que ils n’ont vu aucune exploitation dans la nature, mais bien sûr, ils n’avaient pas les outils ou les avantages de ConnectWise pour analyser toutes les instances en ligne. « Nous ne sommes pas conscients si ConnectWise a scanné ou trouvé des exploits en plus de notre POC », ont-ils ajouté.
Toute l’actualité en temps réel, est sur L’Entrepreneur
