Поделиться
В ПО Cisco нашли «брешь», позволяющую захватывать ПК под Windows
Высокоопасная уязвимость в ПО для установления защищенных соединений Cisco позволяет злоумышленнику повысить привилегии до системного уровня. Но при определенных условиях.Уровень System
Эксперт по информационной безопасности Филип Драгович (Filip Dragović) опубликовал экспериментальный эксплойт к высокоопасной уязвимости в разработках Cisco, которая обеспечивает потенциальным злоумышленникам высшие привилегии в системе. Об этом сообщил Bleeping Computer.
Речь идет о баге CVE-2023-20178, затрагивающем клиентское ПО Cisco Secure Client Software for Windows (ранее известное как AnyConnect Secure Mobility Client), предназначенное для установки защищенных соединений (VPN) между удаленным рабочим местом и корпоративной сетью. Это ПО также позволяет администраторам сети получать данные телеметрии и производить ограниченные манипуляции на стороне удаленного работника.
Уязвимость считается высокоопасной, но не критической, поскольку для ее эксплуатации потенциальный злоумышленник должен сперва авторизоваться в системе. Но если авторизация у него есть, то процедура повышения привилегий до высшего уровня (System) оказывается тривиальной и незаметной. Согласно описанию Cisco, злоумышленнику потребуется произвести злонамеренные манипуляции с «определенной функцией программы установки Windows».
Патчи для этой уязвимости были опубликованы 20 июня 2022 г. Эксперты подразделения Cisco по реагированию на инциденты, связанные с безопасностью разработок, заявили, что на тот момент признаков эксплуатации уязвимости выявлено не было.
От экспериментов к практике
Однако теперь они вполне могут появиться: Филип Драгович проверил свой эксплойт на уязвимых версиях Cisco Secure Client 5.0.01242 и Cisco AnyConnect 4.10.06079.
Как пояснил эксперт, когда пользователь подключается к VPN, в фоновом режиме активируется процесс vpndownloader.exe, который, в свою очередь, создает каталог C:\windows\temp со стандартными разрешениями в формате tmp и случайными цифрами в названии.
«После создания каталога процесс vpndownloader.exe проверяет, является ли каталог пустым, и если нет, то удалит оттуда все остальные файлы и каталоги. Это поведение можно использовать для произвольного удаления файлов с правами уровня NTAuthority\System», — написал эксперт.
Затем злоумышленник может создать шелл System путем произвольного удаления файла, воспользовавшись поведением программы установки Windows и тем фактом, что процесс обновления клиента выполняется после каждого успешного VPN-подключения. Для этого он может использовать известную технику для повышения привилегий через удаление и подмену важных установочных файлов.
«Как правило, вскоре после появления PoC-эксплойтов обнаруживаются и полноценные вредоносные программы, эксплуатирующие целевую уязвимость, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Данная уязвимость может и не быть критической самой по себе, но в случае, если хакерам удается найти другую, позволяющую авторизоваться в системе, то комбинация будет фатальной».
С оперативным исправлением, однако, возникают сложности: например, в октябре 2022 г. Cisco распространила настоятельную рекомендацию срочно установить патчи против уязвимости в AnyConnect, которая была нейтрализована целых три года назад. Эксплойт к ней был доступен давно, но с какого-то момента хакеры решили активно взяться именно за эту уязвимость.
Поделиться
Короткая ссылка
