В VPN-клиенте Forcepoint для Windows исправлена уязвимость
Уязвимость позволяет повышать привилегии и выполнять другие вредоносные действия.
Исследователи из компании SafeBreach, занимающейся симуляцией взломов и кибератак, обнаружили уязвимость в VPN-клиенте Forcepoint для Windows, эксплуатация которой позволяет злоумышленникам повышать привилегии и выполнять другие вредоносные действия.
Проблема CVE-2019-6145 представляет собой уязвимость типа unquoted search path (отсутствие кавычек вокруг элемента в пути поиска) и затрагивает версии VPN-клиента Forcepoint для Windows младше 6.6.1.
VPN-клиент Forcepoint обеспечивает безопасное соединение между устройствами конечных точек и шлюзом на межсетевом экране Forcepoint Next Generation (Forcepoint NGFW ).
По словам исследователей, при запуске клиентского приложения выполняется процесс sgvpn.exe с привилегиями NT AUTHORITY\SYSTEM. Затем он пытается запустить несколько исполняемых файлов из папки «C:\» и «C:\Program Files (x86)\Forcepoint\». Некоторые из файлов .exe не существуют, позволяя злоумышленнику с правами администратора размещать свои вредоносные исполняемые файлы в этих местах для дальнейшего запуска. Таким образом преступник может выполнять вредоносный код с привилегиями SYSTEM, а также вредоносные действия.
Поскольку служба sgvpn.exe подписана Forecepoint, злоумышленники могут использовать для избежания обнаружения или обхода «белых списков» приложений. Так как служба загружается при каждом запуске системы, с помощью уязвимости преступники могут добиться персистентности на скомпрометированной системе.
Исследователи сообщили Forcepoint об уязвимости 5 сентября нынешнего года, и она была исправлена 19 сентября с выпуском версии VPN-клиента Forcepoint 6.6.1.