Dopo aver installato una nuova macchina con Windows 10 e averla aggiornata completamente ManageEngine mi rileva una strana vulnerabilità con CVE-2021-42890.
Per chi non lo conoscesse ManageEngine sviluppa delle suite per monitorare costantemente Infrastrutture IT e agevolare il monitoraggio e aggiornamento delle infrastrutture. Il componente che attualmente sto usando per questo è la Vulnerability Manager Plus, installabile come pacchetto separato o addon della Endpoint Central (suite più completa che include diversi pacchetti).
Per approfondire:
ManageEngine Vulnerability Manager Plus:
https://www.manageengine.com/it/vulnerability-management/
ManageEngine Desktop Central (può includere addin Vulnerability Manager Plus)
https://www.manageengine.com/it/desktop-central/
Entrambi i software includono un piano gratuito di 25 dispositivi e varie limitazioni ma sufficienti a monitorare piccoli gruppi di server ed endpoint.
Ritornando alla vulnerabilità segnalata, rispetto a quelle segnalate in passato non esiste una patch o mitigazione che il software può applicare automaticamente.
Il problema è che la vulnerabilità riguarda un app dello store di Windows, e quindi queste app sono installate a livello utente e non aggiornabili da ManageEngine.
In particola è generato perché è stata installata inizialmente una versione obsoleta 1801 di Windows 10, contenete questa app di default, e in seguito aggiornato il sistema da un altro utente, per cui app (dell utente Admin) non è stata aggiornata.
Nello specifico questa vulnerabilità se sfruttata permette di installare un pacchetto compromesso (tipologie di attacco LCE).
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890
Per chi fosse piu esperto qui ci sono delle informazioni aggiuntive su come sfruttare la vulnerabiltà:
https://www.twx-threatintel.com/hobokomo-securitynews/20220209/tips-247/
Per risolvere il problema bisogna recuperare qual è l’utente che abbia installato questa app e la versione installata, attraverso questo comando:
Get-AppxPackage -AllUsers -Name Microsoft.DesktopAppInstaller
La versione è stata fixata con la v1.16.13405.0, per cui la 1.0.30251.0 è vulnerabile.
In seguito loggarsi con l’utente trovato (in questo caso Admin), ed aggiornare app “Programma di installazione delle app” (o app installer nelle versioni in inglese).
Ora che app è aggiornata, verifichiamo ma versione con il comando precedente:
Ora da manage engine rieseguiamo la scansione dell’endpoint, per verificare che la vulnerabilità sia scomparsa.