Auditor

Die Schwachstelle steckt in der Komponente für die Aufzeichnung von Benutzeraktivitäten (User Activity Video Recording) der Überwachungssoftware Netwrix Auditor. Ursache ist die unsichere Deserialisierung von Objekten im Protokoll, über das diese Komponente kommuniziert: Empfangene Daten werden in Objekte zurückverwandelt, ohne sie ausreichend zu prüfen. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten eigenen Code einschleusen und mit den höchsten Systemrechten (NT AUTHORITY\SYSTEM) ausführen – also mit voller Kontrolle über das betroffene System. Betroffen ist nicht nur der zentrale Netwrix-Auditor-Server, sondern auch die Agenten, die auf den überwachten Systemen installiert sind; auf diese Weise können ausgerechnet die überwachten Geräte selbst übernommen werden. Voraussetzung für einen erfolgreichen Angriff ist, dass der Angreifer den zugehörigen Netzwerkdienst erreichen kann; dessen Port wird in Unternehmensnetzen jedoch häufig durch die übliche Firewall-Konfiguration blockiert.