Корпоративные Windows-сети горят: уязвимость в Quest дарит права SYSTEM каждому встречному
NewsMakerАдминистраторы в панике — CVE-2025-67813 превратил их домены в анархию.
В корпоративном продукте Quest KACE Desktop Authority, который используют для централизованного управления рабочими станциями Windows, обнаружили уязвимость с возможностью удаленного выполнения кода . Решение устанавливает на каждый управляемый компьютер агентскую службу. Она работает от имени учетной записи SYSTEM и выполняет привилегированные операции по командам сервера. Именно в этом компоненте исследователь нашел небезопасный механизм межпроцессного взаимодействия.
Во время анализа ПО для управления конечными точками специалист обратил внимание на именованный канал Windows с названием ScriptLogic_Server_NamedPipe_9300. Бренд ScriptLogic использовался разработчиком до покупки компанией Quest. Канал обслуживается службой с максимальными правами SYSTEM и при этом допускает подключение удаленных аутентифицированных пользователей домена. Такой набор прав доступа сразу создает риск, поскольку именованные каналы в Windows могут быть доступны по сети через SMB.
Серверная часть Desktop Authority создает канал по пути \\.\pipe\ScriptLogic_Server_NamedPipe_9300. Клиентский агент на рабочих станциях использует парный канал \\.\pipe\ScriptLogic_Client_NamedPipe_9300. Через него сервер связывается с агентами и отправляет задания. Если разрешения настроены слишком широко, к такому каналу может подключиться любой пользователь домена с действительной учетной записью.
Обмен данными внутри канала построен на собственном IPC протоколе поверх сериализации Microsoft Foundation Classes CArchive. Формат представляет собой бинарный поток с префиксами длины и поддержкой типов COM VARIANT. После реверс анализа исследователь восстановил структуру сообщений. В нее входят поля с COM ProgID для создания объекта, именем вызываемого метода, селектором операции RpcName, командой для запуска, идентификатором процесса для внедрения DLL и дополнительными параметрами. Значение RpcName определяет, какое именно действие выполнит служба.
В корпоративном продукте Quest KACE Desktop Authority, который используют для централизованного управления рабочими станциями Windows, обнаружили уязвимость с возможностью удаленного выполнения кода . Решение устанавливает на каждый управляемый компьютер агентскую службу. Она работает от имени учетной записи SYSTEM и выполняет привилегированные операции по командам сервера. Именно в этом компоненте исследователь нашел небезопасный механизм межпроцессного взаимодействия.
Во время анализа ПО для управления конечными точками специалист обратил внимание на именованный канал Windows с названием ScriptLogic_Server_NamedPipe_9300. Бренд ScriptLogic использовался разработчиком до покупки компанией Quest. Канал обслуживается службой с максимальными правами SYSTEM и при этом допускает подключение удаленных аутентифицированных пользователей домена. Такой набор прав доступа сразу создает риск, поскольку именованные каналы в Windows могут быть доступны по сети через SMB.
Серверная часть Desktop Authority создает канал по пути \\.\pipe\ScriptLogic_Server_NamedPipe_9300. Клиентский агент на рабочих станциях использует парный канал \\.\pipe\ScriptLogic_Client_NamedPipe_9300. Через него сервер связывается с агентами и отправляет задания. Если разрешения настроены слишком широко, к такому каналу может подключиться любой пользователь домена с действительной учетной записью.
Обмен данными внутри канала построен на собственном IPC протоколе поверх сериализации Microsoft Foundation Classes CArchive. Формат представляет собой бинарный поток с префиксами длины и поддержкой типов COM VARIANT. После реверс анализа исследователь восстановил структуру сообщений. В нее входят поля с COM ProgID для создания объекта, именем вызываемого метода, селектором операции RpcName, командой для запуска, идентификатором процесса для внедрения DLL и дополнительными параметрами. Значение RpcName определяет, какое именно действие выполнит служба.