Один клик — и зло внутри: Netwrix Password Secure оказался дырой в инфраструктуре

В корпоративном решении Netwrix Password Secure обнаружена критическая уязвимость , позволяющая аутентифицированным злоумышленникам выполнять произвольный код на системах других пользователей. Уязвимость затрагивает версии до 9.2.2 включительно, включая сборку 9.2.0.32454 для клиентского и серверного компонентов.

Проблема выявлена специалистами из компании 8com и официально раскрыта 22 мая 2025 года. Ошибка кроется в функциональности совместного доступа к документам: неверная верификация путей к файлам позволяет подменить их на исполняемые программы, такие как PowerShell, при этом сохранив видимость безопасного формата — например, PDF или DOCX.

Во время анализа специалисты обнаружили, что метод OpenInDefaultProgram в классе DocumentsHelper запускает файл с помощью системной ассоциации расширений, используя объект ProcessFileInfo. При первоначальной загрузке документов приложение ограничивает допустимые форматы, исключая, к примеру, .exe-файлы. Однако при обновлении уже существующей ссылки проверке подвергается только тип документа, а путь к файлу остаётся без должной валидации.

Это позволяет злоумышленнику изменить DocumentPath на путь к «PowerShell.exe» или другому исполняемому файлу, при этом оставив метаданные документа безопасными на вид. Дополнительную опасность создаёт параметр DocumentParams, через который можно передать команде произвольные аргументы. Используя этот механизм, исследователи смогли выполнить произвольный код — например, запуск Калькулятора Windows — сразу после клика жертвы по подменённой ссылке.

Атака требует аутентифицированного доступа и взаимодействия пользователя, но может быть легко замаскирована в виде безопасной ссылки или ярлыка на рабочем столе. Альтернативный сценарий предполагает использование исполняемых файлов с сетевых ресурсов, но локальная подмена пути на PowerShell признана более практичной.

О проблеме разработчики Netwrix были уведомлены 28 января 2025 года, на следующий день исследователи предоставили рабочий пример. После подтверждения уязвимости 11 февраля компания выпустила исправление в версиях выше 9.2.2. Подробности уязвимости опубликованы в бюллетене безопасности ADV-2025-009 от 1 апреля 2025 года.

Пользователям настоятельно рекомендуется как можно скорее обновить программное обеспечение, чтобы исключить риск удалённого выполнения кода, который может привести к компрометации конфиденциальных данных или несанкционированному доступу внутри организации.

Этот инцидент подчёркивает необходимость строгой проверки входных данных и безопасных механизмов обработки файлов в системах, призванных защищать критически важную информацию.