Vá lỗ hổng trong Forcepoint VPN Client cho Windows

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 21/09/19, 12:09 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 215
    Đã được thích: 61
    Điểm thành tích:
    28
    Các nhà nghiên cứu của SafeBreach vừa phát hiện ra lỗ hổng trong Forcepoint VPN Client (ứng dụng kết nối mạng riêng ảo từ xa) dành cho Windows có thể dẫn đến khai thác để leo thang đặc quyền vì các mục đích khác nhau.
    forcepoint_vpn.jpeg

    Lỗ hổng CVE-2019-6145 là lỗi nằm trong đường dẫn tìm kiếm thông tin không được trích dẫn, ảnh hưởng đến các phiên bản Forcepoint VPN Client dành cho Windows từ 6.6.1 trở về trước.

    Forcepoint VPN Client cung cấp kết nối bảo mật giữa các thiết bị đầu cuối và một cổng trên Forcepoint Next Generation Firewall (Forcepoint NGFW).

    Theo SafeBreach, khi ứng dụng máy khách được khởi chạy, một tiến trình sgvpn.exe sẽ được thực thi với đặc quyền NT AUTHORITY\SYSTEM. Tiến trình này sau đó sẽ cố gắng chạy một số file thực thi từ folder “C:\” và “C:\Program Files (x86)\Forcepoint\”.

    Khi một số file .exe không tồn tại sẽ cho phép kẻ tấn công với quyền quản trị viên đưa các file độc hại của mình đến các vị trí này. Các file này sẽ được thực thi khi ứng dụng Forcepoint được khởi chạy.

    Khi đó tin tặc thực thi mã độc hại với các đặc quyền SYSTEM (quyền cao nhất). Tuy nhiên SafeBreach cũng chỉ ra rằng lỗ hổng có thể bị khai thác vì các mục đích khác, đặc biệt là ứng dụng được tự động khởi chạy khi boot hệ thống, đồng thời file sgvpn.exe được ký bởi Forcepoint.

    Vì dịch vụ bị khai thác được ký bởi Forecepoint, tin tặc có thể lạm dụng để tránh bị phát hiện hoặc qua mặt cơ chế whitelist của ứng dụng. Ngoài ra, dịch vụ được tải lên ở mỗi lần boot, kẻ xấu cũng có thể lợi dụng điều này để cài cắm mã độc một cách có chủ đích trên hệ thống bị xâm phạm.

    Forcepoint đã phát hành bản vá cho lỗ hổng này qua phiên bản 6.6.1. Do đó, người dùng có thể tránh bị khai thác bằng cách đảm bảo người dùng không có quyền quản trị sẽ không thể tạo hoặc copy các file có thể thực thi trong “C:\” và “C:\Program Files (x86)\Forcepoint\”. Nhà cung cấp cho biết chỉ có quản trị viên mặc định mới được phép để ghi các file đến các vị trí này.

    Theo SecurityWeek
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan