یک آسیبپذیری امنیتی حیاتی در عامل (Agent) کمکرسان از راه دور ویندوز متعلق به شرکت JumpCloud شناسایی شده است که نقاط پایانی تحت مدیریت را در معرض افزایش امتیازات محلی و حملات محرومیت از سرویس (DoS) قرار میدهد. این ضعف، که با شناسه CVE-2025-34352 ردیابی میشود، تمامی نسخههای عامل منتشر شده قبل از 0.317.0 را تحت تاثیر قرار داده و ناشی از عملیات ناایمن فایلها در هنگام حذف است.
این مسئله توسط محققان امنیت سایبری در XM Cyber کشف شد و به هر کاربر محلی با امتیاز پایین اجازه میدهد تا عملیات نوشتن و حذف فایل انجام شده توسط عامل را دستکاری کند، عاملی که با امتیاز NT AUTHORITY\SYSTEM اجرا میشود. با سوء استفاده از نامهای فایل قابل پیشبینی و دایرکتوریهایی که کاربران میتوانند روی آنها بنویسند، یک مهاجم میتواند کنترل کامل سیستم ویندوز را به دست بگیرد یا آن را غیرقابل استفاده کند.
این آسیبپذیری در حین تجزیه و تحلیل گردش کار حذف عامل JumpCloud کشف شد. هنگامی که عامل اصلی حذف میشود، بهطور خودکار حذف مؤلفه کمکرسان از راه دور را فعال میکند. این برنامه نصبی ثانویه چندین عملیات فایل را درون دایرکتوری %TEMP% ویندوز انجام میدهد – مکانی که به طور کامل تحت کنترل کاربران استاندارد است. از آنجایی که نصب کننده در حین اجرای با امتیاز SYSTEM، فایلها را از این دایرکتوری حذف، مینویسد و اجرا میکند، در برابر حملات پیگیری لینک آسیبپذیر میشود؛ لینکهای سمبلیک و نقاط اتصال میتوانند عملیات دارای امتیاز را به سمت مکانهای محافظت شده سیستم هدایت کنند.
JumpCloud یک پلتفرم مدیریت هویت و دستگاه مبتنی بر ابر است که توسط بیش از 180،000 سازمان در 160 کشور مورد استفاده قرار میگیرد. عامل ویندوز آنها به طور گستردهای مستقر شده و با بالاترین امتیازات سیستمی برای اجرای سیاستها و مدیریت دستگاهها عمل میکند.
بهرهبرداری موفقیتآمیز از این آسیبپذیری، دسترسی دائمی سطح سیستم (SYSTEM) را به نقطه پایانی در اختیار مهاجم قرار میدهد. در یکی از سناریوهای مشاهده شده توسط XM Cyber، نوشتن فایلهای تصادفی درایورهای بحرانی ویندوز را خراب کرد که منجر به خرابی مکرر صفحه آبی مرگ شد. در سناریوی دیگر، مهاجمان میتوانستند دایرکتوریهای محافظتشده سیستم را حذف کنند و از رفتار استاندارد نصب کننده ویندوز برای دستیابی به یک پوسته SYSTEM استفاده کنند.
این مشکل بهطور مسئولانه به JumpCloud اطلاع داده شد که یافتهها را تایید کرده و نسخه اصلاح شدهای از عامل کمکرسان از راه دور را منتشر کرد. سازمانهایی که از نسخههای آسیبپذیر استفاده میکنند، باید فوراً به روز رسانی کنند.
«تأیید کنید که تمامی دستگاههای ویندوز در حال اجرا عامل JumpCloud به نسخه 0.317.0 یا بالاتر بهروزرسانی شدهاند.» XM Cyber هشدار داد.
این تحقیق همچنین یک درس امنیتی کلی را برای سازمانها برجسته میکند: عوامل دارای امتیاز باید از تعامل با مسیرهایی که کاربران میتوانند روی آنها بنویسند اجتناب کنند، مگر اینکه کنترلهای دسترسی به طور صریح سخت شوند. حتی نقاط ضعف شناخته شده در منطق نصب کننده میتواند یک مسیر مستقیم به مصالحه کامل سیستم ارائه دهد هنگامی که در نرمافزار مدیریت به طور گسترده استقرار یافتهاند.
📌 توجه: این مطلب از منابع بینالمللی ترجمه و بازنویسی شده است.