Skip to main content

CVE-2024-29417: Escalação de Privilégios Locais no HORACIUS Password Reset for Windows

By 25 de abril de 2024maio 6th, 2024Gestão de Identidade

 

Em 24 de abril de 2024, foi publicada a vulnerabilidade identificada pelo código CVE-2024-29417, que afeta o produto “HORACIUS Password Reset for Windows”, também conhecido como “HORACIUS: Esqueci a minha senha”.

O HORACIUS Password Reset for Windows é um produto que pode ser instalado nos computadores dos usuários para facilitar a alteração de senhas sem a necessidade de abrir uma sessão no Windows. Essa funcionalidade existe para que um usuário possa desbloquear sua conta ou alterar a sua senha, quando esqueceu a senha do Windows, usando outras formas de autenticação, incluindo múltiplos fatores de autenticação.

O que é essa vulnerabilidade?

A vulnerabilidade permite que um invasor que tenha acesso físico ao computador do usuário realize uma escalada de privilégios no sistema operacional Windows, ganhando capacidade para executar programas com privilégios de administrador local no computador invadido.

Versões afetadas

As versões do HORACIUS Password Reset for Windows até a versão 1.2 apresentam essa vulnerabilidade. 

A partir da versão 1.3, liberada em junho/2023, a vulnerabilidade foi corrigida, eliminando a possibilidade de escalada de privilégios.

A vulnerabilidade não afeta o sistema HORACIUS IAM nem o Portal de Autosserviço HORACIUS.

Recomendações e resolução

Se você está usando uma versão do HORACIUS Password Reset for Windows até a versão 1.2, deve atualizá-lo para a versão 1.3 imediatamente.

Nossas equipes de suporte e atendimento estão à disposição para auxiliar.

A E-TRUST realiza análises de segurança como parte de seu processo de desenvolvimento de software e atualiza continuamente seus produtos de acordo com as evoluções das ameaças.