JumpCloud Remote Assist: luka CVE-2025-34352 umożliwia przejęcie systemu (Windows). Co muszą zrobić zespoły IT? - Security Bez Tabu

JumpCloud Remote Assist: luka CVE-2025-34352 umożliwia przejęcie systemu (Windows). Co muszą zrobić zespoły IT?

Wprowadzenie do problemu / definicja luki

W module JumpCloud Remote Assist dla Windows wykryto podatność CVE-2025-34352 (CVSS v4.0: 8.5 – High), która pozwala lokalnemu użytkownikowi o niskich uprawnieniach na eskalację uprawnień do SYSTEM oraz potencjalne przejęcie hosta podczas deinstalacji lub aktualizacji agenta. Błąd wynika z wykonywania uprzywilejowanych operacji na przewidywalnych plikach w katalogu %TEMP% bez odpowiedniej walidacji/ustawienia ACL. Problem dotyczy wersji Remote Assist < 0.317.0.

W skrócie

  • CVE-2025-34352 to lokalna eskalacja uprawnień (LPE) w JumpCloud Remote Assist (Windows), aktywowana przy uninstall/update agenta.
  • Atakujący może wymusić arbitrary file write/delete poprzez symbole dowiązań / punkty montowania, prowadząc do SYSTEM shell lub BSOD (np. zapis w System32\cng.sys).
  • Luka została załatana w Remote Assist 0.317.0; JumpCloud informuje, że klientów automatycznie podniesiono do 0.319.0 pod koniec października. Admini powinni zweryfikować wersję i polityki EDR/SIEM.

Kontekst / historia / powiązania

  • 15 grudnia 2025: XM Cyber publikuje szczegóły techniczne i PoC-owe prymitywy ataku.
  • 2 grudnia 2025: NVD publikuje rekord CVE; CNA: VulnCheck, z metryką CVSS 8.5.
  • 16–17 grudnia 2025: SecurityWeek opisuje wpływ i otrzymuje komentarz JumpCloud (o masowej aktualizacji do 0.319.0 wykonanej „pod koniec października”).

Analiza techniczna / szczegóły luki

Źródło problemu. Podczas odinstalowania/aktualizacji JumpCloud Agent (działającego jako NT AUTHORITY\SYSTEM) wywoływany jest deinstalator Remote Assist, który wykonuje tworzenie, zapis, kasowanie i uruchamianie plików o przewidywalnych nazwach w podkatalogu %TEMP% (np. ~nsuA.tmp\Un_A.exe, ~nsu.tmpA\Un_*.exe) bez resetu ACL i bez walidacji zaufania ścieżki. To klasyczne błędy CWE-59 (link following) i CWE-378 (insecure temp).

Prymitywy eksploatacji.

  1. Arbitrary file write: montowanie/namespace Object Manager + linki symboliczne → przekierowanie zapisu SYSTEM do plików chronionych (np. sterownik cng.sys) → BSOD/DoS.
  2. Arbitrary delete → LPE: wyścig TOCTOU na DeleteFileW() do usunięcia/ podmiany zawartości Config.Msi, a następnie znane techniki Windows Installer LPE do uzyskania SYSTEM shell.

Zakres wersji i komponent. Podatność dotyczy Remote Assist < 0.317.0 w środowiskach, w których komponent jest instalowany i zarządzany w cyklu życia Agenta.

Praktyczne konsekwencje / ryzyko

  • Przejęcie endpointu: lokalny user (lub malware już obecne na stacji) może podnieść uprawnienia do SYSTEM i utrwalić się.
  • Zakłócenie usług: możliwe BSOD poprzez nadpisanie krytycznych plików systemowych.
  • Wpływ łańcuchowy: komponent jest powszechny w środowiskach JumpCloud; atak na jedno stanowisko ułatwia ruch boczny i eskalację domenową.
  • Okno ataku przy maintenance: trigger następuje w trakcie uninstall/update, więc okna serwisowe lub masowe aktualizacje to momenty szczególnie wrażliwe.

Rekomendacje operacyjne / co zrobić teraz

  1. Zweryfikuj wersję Remote Assist na wszystkich Windowsach:
    • Wymagane: ≥ 0.317.0 (XM Cyber/NVD) — JumpCloud podaje, że klientów zaktualizowano do 0.319.0 pod koniec października 2025; sprawdź, czy to faktycznie nastąpiło w Twojej flocie.
  2. Wymuś aktualizację agenta/komponentów JumpCloud w MDM/patch management i raportuj niezgodności (compliance).
  3. Twarde zasady dla ścieżek tymczasowych:
    • Monitoruj tworzenie/wykonywanie plików w %TEMP%\~nsuA.tmp i %TEMP%\~nsu.tmpA.
    • W EDR utwórz reguły dla podejrzanych sekwencji CreateFile/WriteFile/CreateProcess przez procesy powiązane z deinstalatorem Remote Assist. (IOC/behavioural).
  4. Kontrola czasu aktualizacji: ogranicz uprawnienia lokalnych użytkowników i zablokuj interaktywne logowanie w oknach maintenance, aby utrudnić wyścigi/TOCTOU.
  5. Higiena uprawnień: egzekwuj least privilege, audytuj członkostwa lokalnych grup, włącz WDAC/Credential Guard gdzie to możliwe.
  6. Myśl o klasie błędu: w ocenie dostawców wymagaj, by uprzywilejowane procesy nie operowały na katalogach użytkownika (np. %TEMP%) bez jawnego ustawienia ACL oraz walidacji ścieżek.

Różnice / porównania z innymi przypadkami

Ta luka jest kolejnym przykładem LPE przez niebezpieczne operacje w katalogu tymczasowym z udziałem deinstalatorów/aktualizatorów. W odróżnieniu od niektórych wcześniejszych przypadków (np. typowe DLL hijacking), tutaj kluczowe są linki symboliczne/mount pointy i wyścig DeleteFileW(), co umożliwia zarówno DoS przez arbitralny zapis, jak i LPE przez arbitralne kasowanie + MSI. To zwiększa prawdopodobieństwo sukcesu w realnych warunkach utrzymaniowych.

Podsumowanie / kluczowe wnioski

  • Zaktualizuj Remote Assist do ≥ 0.317.0 (docelowo 0.319.0, jeśli dostępne w Twojej flocie) i potwierdź zgodność na wszystkich hostach.
  • Dodaj detekcje EDR dla sekwencji tworzenia/wykonywania plików w %TEMP%\~nsu* przez procesy instalatorów/deinstalatorów JumpCloud.
  • Zabezpiecz okna serwisowe i minimalizuj powierzchnię ataku lokalnego użytkownika.
  • Traktuj tę podatność jako sygnał kontrolny dla wszystkich narzędzi z uprawnieniami SYSTEM — żadnych uprzywilejowanych operacji w katalogach użytkownika.

Źródła / bibliografia

  • SecurityWeek — „JumpCloud Remote Assist Vulnerability Can Expose Systems to Takeover” (16–17 grudnia 2025, z oświadczeniem JumpCloud o auto-aktualizacji do 0.319.0). (SecurityWeek)
  • NVD — wpis CVE-2025-34352 (opis, CVSS 8.5, zakres wersji < 0.317.0, CWE-59/378). (NVD)
  • XM Cyber — „JUMPSHOT: … LPE (CVE-2025-34352) in JumpCloud Agent” (analiza techniczna, prymitywy, ścieżki %TEMP%). (XM Cyber)
  • VulnCheck Advisory — „JumpCloud Remote Assist < 0.317.0 Arbitrary File Write/Delete…” (daty, CVSS 8.5, zakres wersji). (VulnCheck)
  • JumpCloud — strona produktu Remote Assist (kontekst funkcjonalny). (JumpCloud)

Uwaga redakcyjna: w źródłach pojawiają się dwie wartości „naprawczych” wersji: 0.317.0 (NVD, XM Cyber, VulnCheck) oraz informacja JumpCloud o automatycznej aktualizacji do 0.319.0 (oświadczenie dla SecurityWeek). W materiałach operacyjnych zalecamy minimalny próg zgodności: 0.317.0, z preferencją 0.319.0, jeśli jest dostępna w Twojej flocie.