SimpleHelp

Die Schwachstelle betrifft die Fernwartungssoftware SimpleHelp und beruht auf einer fehlenden Berechtigungsprüfung. Innerhalb der Software gibt es Techniker mit eingeschränkten Rechten sowie übergeordnete Server-Administratoren. Wegen des Fehlers können Techniker mit niedrigen Rechten API-Schlüssel erzeugen, die mit weit umfangreicheren Berechtigungen ausgestattet sind, als ihnen eigentlich zustehen. Diese überprivilegierten Schlüssel lassen sich anschließend nutzen, um die eigenen Rechte schrittweise auszuweiten und sich die Rolle des Server-Administrators zu verschaffen. Damit erlangt ein an sich nur begrenzt befugter Nutzer die vollständige administrative Kontrolle über den Server. Voraussetzung ist ein bereits vorhandener Technikerzugang; die Lücke richtet sich also gegen die interne Rechtetrennung. Da SimpleHelp für den Fernzugriff auf fremde Systeme eingesetzt wird, kann eine Übernahme des Servers weitreichende Folgen für alle darüber verwalteten Endgeräte haben.