BDU:2021-05106: Уязвимость программно-аппаратного комплекса средств защиты информации от несанкционированного доступа «Аккорд-В», связанная с нарушением установленного распределения ролей, позволяющая нарушителю обойти разграничения доступа к ресурсам АРМ АБИ/АВИ для администраторов АРМ и выполнить произвольный код от имени системы

Уязвимость программно-аппаратного комплекса средств защиты информации от несанкционированного доступа «Аккорд-В» связана с нарушением установленного распределения ролей. Эксплуатация уязвимости может позволить нарушителю обойти разграничения доступа к ресурсам АРМ АБИ/АВИ для администраторов АРМ и выполнить произвольный код от имени системы

Использование следующих компенсирующих мер: Для «Аккорд-АМДЗ», установленного на АРМ АБИ/АВИ 1. В среде администрирования Аккорд-АМДЗ перейти на вкладку «Файлы» 2. Развернуть дерево диска, на который было установлено СПО «Аккорд-В.», и выбрать каталог установки (по умолчанию, C:\Program Files (x86)\OKB SAPR\Accord-V\). 3. Нажать кнопку «Добавить в СКЦ». 4. Установить флаги: «Контролировать каждый файл отдельно», «Контролировать содержимое файлов», «Контролировать подкаталоги». Задать маску файлов «*.dll». Нажать ОК. 5. Нажать кнопку «Сохранить» и выйти из среды администрирования. Для СПО «Аккорд-Win32 TSE» («Аккорд-Win64 TSE), установленного на АРМ АБИ/АВИ В главном окне программы «Редактор базы пользователей» (Aced32.exe) выбрать нужного пользователя (выполняющего роль Администратора безопасности, отвечающего за работу с СПО «Аккорд-В.»). 1. Войти в меню «Разграничение доступа», нажать кнопку «Новый». 1.1. Выбрать каталог установки СПО «Аккорд-В.» (по умолчанию, C:\Program Files (x86)\OKB SAPR\Accord-V\) и нажать кнопки «Чтение» и «Сохранить». 1.2. В каталоге установки СПО «Аккорд-В.» выбрать подкаталог «certs». Нажать кнопку «Чтение», добавить флаг «Открыть для записи», снять флаг «Запуск программ». Нажать кнопку «Сохранить». 1.3. Повторить действия пункта 1.2 для файлов: Config.xml, CredentialStore.xml, LogConfig.xml, EventDatabase.db, ManagedDatabase.db из каталога установки СПО «Аккорд-В.». 1.4. Нажать кнопку «Сохранить» в окнах «Атрибуты доступа к объектам» и «Редактирование правил разграничения доступа», после чего нажать «Сохранить» в главном окне «Редактора базы пользователей» 2. Войти в меню «Контроль целостности» 2.1. На вкладке «Статический» выбрать каталог установки СПО «Аккорд-В.» и нажать кнопку «Добавить содержимое папки в список». В появившемся окне указать фильтр «*.dll» и установить флаг «Восстанавливать при модификации». Нажать «ОК». Установить флаг «До запуска системы», приложить идентификатор пользователя, для которого устанавливается контроль, и нажать «Расчёт». 2.2. Нажать кнопку «Сохранить» в окнах «Атрибуты доступа к объектам» и «Редактирование правил разграничения доступа», после чего нажать «Сохранить» в главном окне «Редактора базы пользователей»