محققان آزمایشگاه های SafeBreach اخیراً پستی را منتشر کردند که جزئیات آسیب پذیری مؤثر در مشتری Forcepoint VPN (یعنی تمام نسخه های قبل از 6.6.1) را برای ویندوز شرح می دهد. این آسیب پذیری که با عنوان CVE-2019-6145 وارد شده است ، امکان افزایش امتیاز و همچنین تداوم و فرار از دفاع را فراهم می کند. آسیب پذیری نیاز دارد که مهاجم بتواند از جنبه های خاصی دسترسی اداری داشته باشد ، اما دستیابی به آن همانطور که ممکن است تصور شود غیرممکن نیست.
مکانیک بهره برداری از آسیب پذیری CVE-2019-6145 توسط مجموعه ای از عمیق کشف شد. به نحوه عملکرد Forcepoint فرو می رود. هنگامی که به دنبال آسیب پذیری هستید ، آزمایشگاه های SafeBreach با گرفتن یک اجرایی امضا نشده و توسط یک سرویس امضا شده با عنوان NT AUTHORITY SYSTEM اجرا می شوند. محققان متوجه شدند که عامل اصلی در شروع کار Forcepoint VPN ، sgvpn.exe ، بلافاصله توسط این سرویس کشف نشده است. در عوض ، این برنامه قبل از یافتن sgvpn.exe و اجرای آن ، به جستجوی پرونده های گمشده متعدد EXE می پردازد.
در پست آزمایشگاه های SafeBreach موارد زیر موارد زیر را بیان می کند که علت این امر را با جزئیات کامل در زیر می خواند:
اولین آرگومان تابع CreatProcessW تماس بگیرید. NULL است.
بافر خط فرمان حاوی هیچ رشته ای نقل نشده است که مسیر اجرایی را از آرگومان جدا می کند .
(یادآوری سریع: "٪ s٪ s٪ s") ، که در ما پرونده به:
"C: File Files (x86) Forcepoint VPN Client sgpm.exe -A"
مطابق مستندات عملکرد CreatProcessW در MSDN ، موارد زیر را مشاهده خواهیم کرد: [19659002] پارامتر lpApplicationName می تواند NULL باشد. در این حالت ، نام ماژول باید اولین نشانگر فضای نامحدود سفید در رشته lpCommandLine باشد. اگر از یک نام پرونده طولانی استفاده می کنید که حاوی یک فضا است ، از رشته های نقل قول استفاده کنید تا نام فایل به پایان برسد و آرگومان ها آغاز ؛ در غیر این صورت ، نام پرونده مبهم است.
برای مثال رشته "c: files files sub dir name program" را در نظر بگیرید. این رشته را می توان از چند طریق تفسیر کرد. سیستم سعی می کند امکانات را به ترتیب زیر تفسیر کند:
c: program.exe c: برنامه های برنامه sub.exe c: پرونده های برنامه sub dir program.exe c: پرونده های برنامه sub dir program name.exe
علت اصلی این آسیب پذیری در مسیر جستجوی ناخوشایند اتفاق می افتد زیرا خط فرمان شامل نمی شود یک رشته نقل قول بین مسیر اجرایی و آرگومان – بنابراین عملکرد CreatProcessW سعی می کند هر بار که یک شخصیت فضایی را تجزیه می کند ، آن را تقسیم کند:
"C: Program.exe"
"C: Program پرونده ها (x86) Forcepoint VPN.exe "
" C: Files Program (x86) Forcepoint VPN Client sgpm.exe -A "
گزارش آسیب پذیری CVE-2019-6145 توسط SafeBreach منتشر شد آزمایشگاه ها در تاریخ 5 سپتامبر و آسیب پذیری در همان روز توسط توسعه دهندگان Forcepoint VPN تأیید شد. پس از گذشت مدتی ، پچ رسمی در تاریخ 19 سپتامبر به عنوان وصله 6.6.1 برای مشتری آزاد شد.
تصویر برجسته: فلیکر / ریچارد پترسون
بازدید بازدید کنندگان:
4
بعدی را بخوانید
