La GUI di YubiKey Manager contiene una vulnerabilità di sicurezza

YSA-2024-01: escalation dei privilegi di YubiKey Manager
La GUI di YubiKey Manager contiene una vulnerabilità di sicurezza

Ad aprile, Yubico ha emesso un avviso di sicurezza (YSA-2024-01) su una vulnerabilità nella GUI di YubiKey Manager (ykman-gui) che ha colpito particolarmente gli utenti Windows. Il produttore Yubico consiglia vivamente di aggiornare i sistemi interessati.

La vulnerabilità è stata identificata come CVE-2024-31498 Con un punteggio CVSS 3.1 pari a 7,7, consente un'escalation di privilegi inaspettata. Maggiori informazioni nell'avviso di sicurezza YSA-2024-01 Esistere.

Il problema si verifica quando si esegue la GUI di YubiKey Manager con privilegi di amministratore e si aprono finestre del browser che possono essere aperte anche con questi privilegi avanzati. Un utente malintenzionato locale potrebbe sfruttare la vulnerabilità per eseguire azioni con privilegi amministrativi. Va notato che i browser come Microsoft Edge dispongono di meccanismi aggiuntivi per impedire l'apertura con diritti di amministratore.

La GUI di YubiKey Manager è sotto attacco

Il software interessato è la GUI YubiKey Manager (nota come ykman-gui) nelle versioni precedenti alla 1.2.6. Questo problema è limitato a Windows perché l'interazione con gli autenticatori FIDO richiede privilegi amministrativi. Le versioni di YubiKey Manager installate su sistemi operativi diversi da Windows non sono interessate da questa vulnerabilità.

Per determinare se un sistema è interessato, gli utenti devono verificare se hanno una versione della GUI YubiKey Manager installata prima della 1.2.6 su un sistema Windows che non utilizza Edge come browser predefinito. La versione installata può essere verificata tramite il menu Informazioni nella GUI di YubiKey Manager.

Yubico consiglia vivamente di proteggere i sistemi interessati aggiornando all'ultima versione di YubiKey Manager. La versione attuale può essere scaricata da Sito Yubico O direttamente Scaricato da GitHub. In alternativa, gli utenti che non richiedono funzionalità FIDO possono eseguire la GUI di YubiKey Manager senza rimuovere o impostare Microsoft Edge come browser predefinito per evitare di ereditare i privilegi amministrativi.

La GUI di YubiKey Manager viene utilizzata per gestire varie funzioni YubiKey, tra cui FIDO, OTP o PIV. L'interazione con gli autenticatori FIDO su Windows richiede privilegi amministrativi, che è una limitazione imposta dal sistema operativo. Una volta che la GUI viene eseguita con questi diritti, tutte le finestre del browser da essa aperte possono essere aperte, a seconda del browser utilizzato, anche con diritti di amministratore, il che può consentire attacchi locali.

La vulnerabilità è stata valutata da Yubico come Alta, con un punteggio di gravità elevata e CVSS di 7,7. Il problema è stato identificato il 1° febbraio 2024 e Yubico ha emesso un avviso il 4 aprile 2024 informando gli utenti della vulnerabilità e dei passaggi necessari per risolverla.

(ID:49996897)