Le bogue permet aux attaquants disposant d’un accès local de s’élever au rang de « système » ou de déstabiliser les machines via des opérations de fichiers de privilèges non sécurisées.
L’agent Remote Assist pour Windows de JumpCloud contenait une faille critique d’élévation de privilèges locaux, permettant une compromission complète du système.
Divulguée par XM Cyber, la vulnérabilité provient d’opérations de fichiers non sécurisées lors de flux de désinstallation ou de mise à jour qui s’exécutent avec les privilèges Windows NT AUTHORITYSYSTEM. Le bug pourrait permettre à un utilisateur local peu privilégié d’accéder au contrôle total du système ou de provoquer des conditions de déni de service sur les machines de l’entreprise.
L’agent de JumpCloud est largement utilisé dans les environnements d’entreprise dans le cadre de sa plate-forme d’annuaire en tant que service basée sur le cloud, gérant l’accès aux appareils et les fonctionnalités d’assistance à distance sur les points de terminaison Windows. Selon Hillel Pinto de XM Cyber, les attaquants n’ont besoin que d’un point d’ancrage local pour exploiter la faille, généralement obtenu via le phishing, les sessions d’assistance à distance ou les machines des développeurs.
Les systèmes exécutant Remote Assist pour Windows avant la version 0.317 sont vulnérables et doivent être mis à jour immédiatement pour atténuer les risques.
Désinstallation privilégiée dans un espace temporaire non fiable
La faille, classée CVE-2025-34352 et notée CVSS 8,5 sur 10, met en évidence les risques liés à une mauvaise gestion des opérations privilégiées sur les points de terminaison Windows. Lors des opérations de désinstallation ou de mise à jour, l’agent JumpCloud déclenche le programme de désinstallation de Remote Assist avec des privilèges au niveau du système, l’autorité la plus élevée possible dans Windows.
Cependant, cette routine effectue des actions de création, d’écriture, d’exécution et de suppression sur des fichiers dans un sous-répertoire %TEMP% accessible en écriture par l’utilisateur sans valider la fiabilité du chemin ni réinitialiser les listes de contrôle d’accès.
Étant donné que le programme de désinstallation effectue des opérations sur les fichiers privilégiés dans un répertoire %TEMP% contrôlé par l’utilisateur, un attaquant peu privilégié peut abuser de ces opérations pour écraser ou supprimer des fichiers système protégés.
« Ce que nous avons est un processus JumpCloud avec les privilèges NT AUTHORITYSYSTEM qui supprime, écrit et exécute un fichier avec un nom de fichier prévisible à partir d’un chemin non fiable », a déclaré Pinto dans un article de blog. « Le cœur de l’exploit implique le suivi de liens, qui utilise des points de montage et des liens symboliques pour rediriger l’opération d’E/S privilégiée. »
Élévation totale des privilèges et déni de service
La vulnérabilité ouvre deux principaux vecteurs d’exploitation avec un impact opérationnel significatif : l’élévation complète des privilèges au niveau du système et le déni de service (DoS).
En manipulant les chemins du système de fichiers et en exploitant les conditions de concurrence, un attaquant peut rediriger les opérations du programme de désinstallation pour supprimer ou écraser les cibles de configuration protégées du programme d’installation, déclenchant finalement des techniques qui leur donnent une invite de commande au niveau du système. L’accès au système sur un point de terminaison d’entreprise permet de contrôler efficacement l’application des politiques, les chemins de vol d’informations d’identification et les capacités de mouvement latéral.
Alternativement, les attaquants peuvent obtenir le processus privilégié pour écrire des données arbitraires dans des fichiers système sensibles (tels que des pilotes), les corrompre et forcer les conditions d’écran bleu de la mort (BSOD). Non seulement cela met les machines hors ligne, mais cela peut également nécessiter des efforts de remédiation importants, en particulier au sein des flottes distribuées.
