В средствах удалённого администрирования и управления обнаружена критическая уязвимость, позволяющая злоумышленнику с обычными правами пользователя получить на Windows-системе высшие привилегии или вызвать её сбой. Проблема затрагивает компонент Remote Assist для Windows от компании JumpCloud, которая предоставляет облачные сервисы управления идентификационными данными и устройствами. Соответственно, эта уязвимость, получившая идентификатор CVE-2025-34352 и высокий уровень опасности (CVSS v4.0: 8.5), представляет серьёзную угрозу для инфраструктуры более 180 тысяч организаций по всему миру, использующих эту платформу.
Детали уязвимости
Агент JumpCloud по умолчанию работает с максимальными системными привилегиями, что необходимо для управления устройствами и применения политик. Однако это же делает любую ошибку в его компонентах прямым путём к полному контролю над компьютером. В данном случае уязвимость кроется в программе удаления (uninstaller) компонента Remote Assist. В процессе деинсталляции основного агента система также запускает удаление этого компонента, и соответствующий процесс выполняется от имени системной учётной записи NT AUTHORITY\SYSTEM.
Ключевая проблема заключается в том, что этот процесс с высокими привилегиями выполняет файловые операции в каталоге %TEMP% пользователя. Этот каталог полностью контролируется любым вошедшим в систему пользователем, даже с минимальными правами. В частности, деинсталлятор проверяет, изменяет и пытается выполнить файл с предсказуемым именем, например, "Un_A.exe", внутри временной папки. Поскольку путь к файлу известен и расположен в доступной для записи пользователем области, злоумышленник может манипулировать им с помощью специальных символических ссылок (symbolic links) и точек монтирования (mount points).
В результате, перенаправляя привилегированные файловые операции, локальный атакущий может добиться одного из двух разрушительных сценариев. С одной стороны, он может осуществить произвольную запись в критические системные файлы, например, драйверы, что приведёт к отказу в обслуживании (Denial of Service, DoS) через повторяющиеся "синие экраны смерти" (BSOD). С другой стороны, используя состояние гонки (race condition) и техники Windows Installer, можно добиться произвольного удаления файлов, что в конечном итоге даст полный доступ к командной оболочке (shell) с правами SYSTEM и обеспечит устойчивость (persistence) на конечной точке.
Практически это означает, что любой пользователь, имеющий учётную запись на уязвимом компьютере с установленными агентом JumpCloud и компонентом Remote Assist, может превратить легитимный инструмент безопасности в оружие для атаки. Успешная эксплуатация уязвимости предоставляет полный контроль над машиной, позволяя устанавливать вредоносное программное обеспечение, похищать данные или продвигаться дальше внутрь корпоративной сети.
Коренная причина - это классическая, но чрезвычайно опасная ошибка проектирования: процесс с высокими привитегиями выполняет чувствительные файловые операции внутри контролируемого пользователем каталога без надлежащих защитных механизмов. Эксперты отмечают, что подобная модель поведения давно известна как опасная в среде Windows, однако до сих пор встречается в реализациях современных агентов.
Компания JumpCloud уже выпустила исправление. Все организации, использующие JumpCloud Remote Assist для Windows, должны немедленно обновить компонент до версии 0.317.0 или более поздней. Командам безопасности настоятельно рекомендуется проверить, что все управляемые Windows-устройства получили это обновление. Кроме того, необходимо пересмотреть политики усиления защиты конечных точек и удостовериться, что никакие другие процессы с повышенными привилегиями не выполняют файловые операции в доступных для записи пользователем местах, таких как %TEMP%, без строгого контроля доступа.
Своевременная установка исправлений имеет важнейшее значение, поскольку уязвимость относительно проста для локальной эксплуатации и напрямую подрывает доверие к инструментам управления конечными точками и удалённого сопровождения, которые являются основой безопасности многих организаций.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-34352
- https://jumpcloud.com/platform/remote-assistance
- https://jumpcloud.com/support/list-of-jumpcloud-agent-release-notes
- https://www.vulncheck.com/advisories/jumpcloud-remote-assist-arbitrary-file-write-delete-via-insecure-temp-directory
- https://xmcyber.com/blog/jumpshot-xm-cyber-uncovers-critical-local-privilege-escalation-cve-2025-34352-in-jumpcloud-agent/
