近期,有安全研究人员在Forcepoint VPN的Windows客户端中发现了一个提权漏洞。该漏洞可以使攻击者在已有立足点的情况下实现权限提升,在某些情况下还可以规避安全防护。
研究人员在周五的报告中表示,该漏洞被标记为CVE-2019-6145,在漏洞利用时,任意未签名的可执行文件可被SYSTEM权限的签名服务所执行,从而规避某些安全防护。
该漏洞存在于Forcepoint VPN的Windows客户端6.6.1以下的所有版本中。Forcepoint表示,该漏洞在6.6.1版本中已被修复。
当客户端启动时(通常是在Windows开机启动的过程中),这个漏洞就会被触发。首先,软件会查找和执行两个系统位置的程序(C:Program.exe和C:Program Files (x86)ForcepointVPN.exe)。一旦它(错误地)发现任何文件(即使未签名),它都会用最高权限(NT AUTHORITYSYSTEM)执行这些文件。
因此,如果攻击者能将一个可执行文件植入这两个系统位置中的一个,就会被VPN客户端以SYSTEM权限执行,从而为攻击者提供最高级别的权限。
在PoC演示中,研究人员编译了一个未签名的可执行文件(EXE),它会把加载该文件的进程名和执行该文件的用户名写道一个txt文件中。最后可以看到,这个无签名的EXE文件由一个Forcepoint签名的合法进程以NT AUTHORITYSYSTEM权限执行。
不过,黑客要想利用这一漏洞,必须突破重重障碍。默认情况下,只有本地管理员可以对这两个位置(C:Program.exe和C:Program Files (x86)ForcepointVPN.exe)进行写操作,这意味着攻击者必须已经具备某些特权。
一旦攻击者利用成功,所植入的payload就能持久生效,每次系统启动时,恶意可执行文件都会以最高权限运行。
研究人员还表示,这个漏洞使攻击者能够通过一个已签名服务进行攻击,因此还可以绕过Windows系统的某些安全措施,这就像经常提到的“白名单绕过”。
该漏洞的CVSSv3评分为6.5,是一个中等严重程度的漏洞。该漏洞于2019年9月5日首次上报;而在2019年9月19日,Forcepoint修复并公开了这一漏洞。