Η ευπάθεια JumpCloud Remote Assist (CVE-2025-34352) εκθέτει τα συστήματα των Windows σε τοπική κλιμάκωση προνομίων και επιθέσεις άρνησης υπηρεσίας. Ανακαλύφθηκε από τον ερευνητή XM Cyber, Hillel Pinto, το ελάττωμα προέρχεται από μη ασφαλείς λειτουργίες αρχείων στο πρόγραμμα απεγκατάστασης του πράκτορα.
Ο παράγοντας JumpCloud Remote Assist για Windows, εκδόσεις προγενέστερες της 0.317.0, εκτελείται ως NT AUTHORITY\SYSTEM και εκτελεί ενέργειες δημιουργίας, εγγραφής, διαγραφής και εκτέλεσης αρχείων στον κατάλογο %TEMP% που ελέγχεται από τον χρήστη χωρίς την κατάλληλη επικύρωση.
Αυτό επιτρέπει στους τοπικούς εισβολείς με χαμηλά προνόμια να αξιοποιούν συμβολικούς συνδέσμους ή σημεία προσάρτησης για αυθαίρετο χειρισμό αρχείων. Το JumpCloud, μια υπηρεσία καταλόγου cloud που χρησιμοποιείται από περισσότερους από 180.000 οργανισμούς, αναπτύσσει αυτόν τον παράγοντα σε διαχειριζόμενα τελικά σημεία για την επιβολή πολιτικών και την υποστήριξη της απομακρυσμένης πρόσβασης.
XM Cyber ανάλυση αποκαλύπτει ο κύριος παράγοντας JumpCloud ενεργοποιεί την απεγκατάσταση του Remote Assist κατά τη δική του διαδικασία αφαίρεσης. Το πρόγραμμα απεγκατάστασης ελέγχει για αρχεία όπως το Un_A.exe στο %TEMP%~nsuA.tmp, διαγράφοντας τα υπάρχοντα πριν γράψει και εκτελέσει νέο περιεχόμενο.
Οι εισβολείς μπορούν να προ-δημιουργήσουν αυτόν τον κατάλογο με αδύναμα δικαιώματα, να ανακατευθύνουν λειτουργίες μέσω συνδέσμου που ακολουθεί (CWE-59) ή προσωρινά ζητήματα αρχείων (CWE-378). Η αντίστροφη μηχανική, με τη βοήθεια της ανάκτησης δυαδικών μεταδεδομένων Go, ανιχνεύει την κατασκευή διαδρομής από τις μεταβλητές περιβάλλοντος έως την εκτέλεση.
Για DoS, οι εισβολείς δημιουργούν ένα σημείο προσάρτησης από το %TEMP%~nsuA.tmp σε έναν κατάλογο συστήματος όπως το \RPCControl και, στη συνέχεια, συνδέουν το Un_A.exe για να αντικαταστήσουν προγράμματα οδήγησης όπως το cng.sys, προκαλώντας σφάλματα.
Η κλιμάκωση προνομίων χρησιμοποιεί μια κούρσα TOCTOU με oplocks στο C:\Config.Msi, ανακατευθύνοντας τις διαγραφές για να ενεργοποιήσει το κέλυφος SYSTEM μέσω τεχνασμάτων του Windows Installer. Αυτά τα πρωτόγονα παρέχουν μόνιμο έλεγχο τελικού σημείου, ενισχύοντας τους κινδύνους σε εταιρικά περιβάλλοντα.
Οι οργανισμοί πρέπει να αναβαθμίσουν σε JumpCloud Remote Assist 0.317.0 ή νεότερη έκδοση αμέσως. Οι ομάδες ασφαλείας θα πρέπει να ελέγχουν τους πράκτορες για λειτουργίες σε διαδρομές που μπορούν να εγγραφούν από το χρήστη, να επιβάλλουν ACL σε προσωρινούς καταλόγους και να παρακολουθούν τους κανόνες ενεργοποίησης απεγκατάστασης. Το JumpCloud επιβεβαίωσε το πρόβλημα μετά την αποκάλυψη και κυκλοφόρησε την επιδιόρθωση αμέσως.
