В VPN-клиенте Forcepoint для Windows исправлена ​​уязвимость

Исследователи из компании SafeBreach, занимающейся симуляцией взломов и кибератак, обнаружили уязвимость в VPN-клиенте Forcepoint для Windows, эксплуатация которой позволяет злоумышленникам повышать привилегии и выполнять другие вредоносные действия.

Проблема CVE-2019-6145 представляет собой уязвимость типа unquoted search path (отсутствие кавычек вокруг элемента в пути поиска) и затрагивает версии VPN-клиента Forcepoint для Windows младше 6.6.1.

VPN-клиент Forcepoint обеспечивает безопасное соединение между устройствами конечных точек и шлюзом на межсетевом экране Forcepoint Next Generation (Forcepoint NGFW).

По словам исследователей, при запуске клиентского приложения выполняется процесс sgvpn.exe с привилегиями NT AUTHORITY\SYSTEM. Затем он пытается запустить несколько исполняемых файлов из папки «C:\» и «C:\Program Files (x86)\Forcepoint\». Некоторые из файлов .exe не существуют, позволяя злоумышленнику с правами администратора размещать свои вредоносные исполняемые файлы в этих местах для дальнейшего запуска. Таким образом преступник может выполнять вредоносный код с привилегиями SYSTEM, а также вредоносные действия.

Поскольку служба sgvpn.exe подписана Forecepoint, злоумышленники могут использовать для избежания обнаружения или обхода «белых списков» приложений. Так как служба загружается при каждом запуске системы, с помощью уязвимости преступники могут добиться персистентности на скомпрометированной системе.

Исследователи сообщили Forcepoint об уязвимости 5 сентября нынешнего года, и она была исправлена ​​19 сентября с выпуском версии VPN-клиента Forcepoint 6.6.1.

Источник: Securitylab