یک آسیب پذیری که روی همه نسخه های Forcepoint VPN Client برای ویندوز تأثیر بگذارد ، آخرین نسخه را ذخیره می کند ، برای دستیابی به پایداری و جلوگیری از شناسایی استفاده می شود. مهاجم برای اجرای پرونده های مخرب با مجوز SYSTEM ، ممتازترین حساب در ویندوز.
به نقل از گمشده
مشخص شده به عنوان CVE-2019-6145 ، مسئله امنیتی توسط پلگ هادار از آزمایشگاه های SafeBreach کشف شد و گزارش شد به Forcepoint ، یک Raytheon شرکت ، در تاریخ 5 سپتامبر.
محقق متوجه شد که روی نسخه های محصول پایین تر از 6.6.1 "سرویس سرویس فورسپوینت VPN مشتری" (sgvpn.exe) ناموفق است "sgpm.exe" قابل اجرا را از مکان های زیر اجرا کند. :
"C: Program.exe"
"C: Files Program (x86) Forcepoint VPN.exe"
خدمات Forcepoint با سیستم عامل شروع می شود و امضا می شود ، بنابراین پرونده ها اجرا می شود. اعتماد خود را به ارث می برد و می توانست از این طریق راه اندازی شود زمان t.
در این زمینه ، مهاجمی با امتیازات سرپرست روی میزبان هدفمند می تواند بدافزار را در یکی از دو مکان قرار داده و آن را با سیستم عامل آغاز کند.
Hadar این کار را با جمع آوری یک امضا نشده ثبت کرد. اجرایی که نام پرونده ای را که بارگذاری آن و نام کاربری که آن را راه اندازی کرده است ، به یک فایل متنی نوشت.
این اتفاق می افتد زیرا یک رشته نقل قول بین مسیر اجرایی و آرگومان در خط فرمان وجود ندارد. هنگامی که تجزیه می شود ، شخصیت فضایی مسیر را می شکند و از درمان آن به طور کلی جلوگیری می کند.
"این آسیب پذیری به مهاجمان امکان اجرای یک سرویس امضا شده را می دهد. این توانایی ممکن است توسط مهاجمی برای اهداف مختلفی از جمله اعدام و سوء استفاده قرار بگیرد. فرار ، به عنوان مثال: بایگانی Whitelisting Bypass "- Peleg Hadar
Forcepoint اذعان کرد که این آسیب پذیری را نشان می دهد و به روز رسانی را برای سرویس دهنده VPN خود برای ویندوز منتشر کرد. در مشاوره دیروز ، این شرکت به مشتریان توصیه می کند نسخه 6.6.1 محصول را نصب کنید.
برای مشتریانی که نمی توانند فوراً بروزرسانی شوند ، Forcepoint توصیه می کند کاربران غیر مدیر را از ایجاد یا کپی کردن اجرایی به مسیرهای زیر محدود کند:
" ج: "
"C: File Files (x86) Forcepoint "