找回密码 立即注册
查看: 187|回复: 0

全球 38% 的组织面临现代云环境带来的风险

[复制链接]

412

主题

1382

回帖

4180

积分

卡卡巡查

积分
4180
发表于 2024-10-10 13:13:54 | 显示全部楼层 |阅读模式

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中,发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用,本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限,给软件用户带来严重的安全风险。

CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果,问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制(UAC)提示的情况下启动安装程序,从而触发安装修复。在修复过程中,一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行,并与程序文件目录下的 libeay32.dll 文件交互。

Baer 解释说,这个过程打开了一个重大漏洞: “在使用 msiexec.exe 的修复功能时,发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口”。这样,攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统,从而完全控制机器。

开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件(即使该文件已从其原始位置删除)并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe,攻击者可以锁定 libeay32.dll,修复过程中会多次访问 libeay32.dll。

通过在特定时间点小心地释放和保持锁,攻击者可以确保 conhost.exe 窗口保持打开,从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭,因此可以与之交互,”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。

分析显示,GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2,但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过,5.2.x 版本已达到使用寿命,将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本,以降低风险。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


快速回复 返回顶部 返回列表