近期,有安全研究人员在Forcepoint VPN的Windows客户端中发现了一个提权漏洞。该漏洞可以使攻击者在已有立足点的情况下实现权限提升,在某些情况下还可以规避安全防护。
研究人员在周五的报告中表示,该漏洞被标记为CVE-2019-6145,在漏洞利用时,任意未签名的可执行文件可被SYSTEM权限的签名服务所执行,从而规避某些安全防护。
该漏洞存在于Forcepoint VPN的Windows客户端6.6.1以下的所有版本中。Forcepoint表示,该漏洞在6.6.1版本中已被修复。
当客户端启动时(通常是在Windows开机启动的过程中),这个漏洞就会被触发。首先,软件会查找和执行两个系统位置的程序(C:\Program.exe和C:\Program Files (x86)\Forcepoint\VPN.exe)。一旦它(错误地)发现任何文件(即使未签名),它都会用最高权限(NT AUTHORITY\SYSTEM
)执行这些文件。
因此,如果攻击者能将一个可执行文件植入这两个系统位置中的一个,就会被VPN客户端以SYSTEM
权限执行,从而为攻击者提供最高级别的权限。
在PoC演示中,研究人员编译了一个未签名的可执行文件(EXE),它会把加载该文件的进程名和执行该文件的用户名写道一个txt文件中。最后可以看到,这个无签名的EXE文件由一个Forcepoint签名的合法进程以NT AUTHORITY\SYSTEM
权限执行。
不过,黑客要想利用这一漏洞,必须突破重重障碍。默认情况下,只有本地管理员可以对这两个位置(C:\Program.exe和C:\Program Files (x86)\Forcepoint\VPN.exe)进行写操作,这意味着攻击者必须已经具备某些特权。
一旦攻击者利用成功,所植入的payload就能持久生效,每次系统启动时,恶意可执行文件都会以最高权限运行。
研究人员还表示,这个漏洞使攻击者能够通过一个已签名服务进行攻击,因此还可以绕过Windows系统的某些安全措施,这就像经常提到的“白名单绕过”。
该漏洞的CVSSv3评分为6.5,是一个中等严重程度的漏洞。该漏洞于2019年9月5日首次上报;而在2019年9月19日,Forcepoint修复并公开了这一漏洞。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://threatpost.com/forcepoint-vpn-client-is-vulnerable-to-privilege-escalation-attacks/148544/