В Forcepoint VPN для Windows устранена уязвимость повышения прав

Разработчики Forcepoint VPN выпустили патч, устраняющий уязвимость, приводящую к повышению прав в системе Windows. Есть информация, что китайские киберпреступники сканируют Сеть на наличие уязвимых версий этого клиента.

На прошлой неделе специалисты компании SafeBreach Labs раскрыли подробности проблемы безопасности под идентификатором CVE-2019-6145.

По словам экспертов, баг не только позволял атакующим повысить права, но и помогал закрепиться в заражённой системе. Брешь актуальна для программного обеспечения Forcepoint VPN Client 6.6.0 и более ранних версий.

Суть бага заключалась в некорректной попытке запустить программы по путям C:\Program.exe и C:\Program Files (x86)\Forcepoint\VPN.exe.

При этом клиент запускает подписанную службу Windows sgvpn.exe от NT AUTHORITY\SYSTEM — это требует администраторских прав.

Если злоумышленник помещал вредоносную программу по одному из вышеозначенных путей, она автоматически запускалась с правами уровня SYSTEM — самыми высокими правами.

Однако стоит отметить, что для успешной атаки преступник уже должен иметь в системе права администратора. Только так он сможет поместить злонамеренный файл в C:\ или C:\Program Files (x86)\.