Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais Agora é possivel

O código de exploração de prova de conceito agora está disponível para uma falha de alta gravidade no Cisco Secure Client Software para Windows (anteriormente AnyConnect Secure Mobility Client) que pode permitir que invasores elevem privilégios para SYSTEM.

O Cisco Secure Client ajuda os funcionários a trabalhar de qualquer lugar usando uma rede privada virtual (VPN) segura e fornece aos administradores de rede recursos de telemetria e gerenciamento de terminais.

A vulnerabilidade (rastreada como CVE-2023-20178) pode permitir que agentes de ameaças autenticados escalem privilégios para a conta SYSTEM usada pelo sistema operacional Windows em ataques de baixa complexidade que não requerem interação do usuário.

A exploração bem-sucedida requer abuso do que a Cisco descreve como uma "função específica do processo de instalação do Windows".

A Cisco lançou atualizações de segurança para lidar com esse bug de segurança na última terça-feira, quando disse que sua equipe de resposta a incidentes de segurança do produto (PSIRT) não tinha evidências de uso malicioso ou código de exploração pública visando o bug em estado selvagem.

O CVE-2023-20178 foi corrigido com o lançamento do AnyConnect Secure Mobility Client para Windows 4.10MR7 e do Cisco Secure Client para Windows 5.0MR2.

Escalando privilégios para SYSTEM usando a exploração PoC CVE-2023-20178 (Filip Dragović)

No início desta semana, o código de exploração de prova de conceito (PoC) foi publicado pelo pesquisador de segurança Filip Dragović, que encontrou e relatou a vulnerabilidade de exclusão de arquivo arbitrário à Cisco.

Como explica Dragović, este PoC foi testado em relação ao Cisco Secure Client (testado em 5.0.01242) e Cisco AnyConnect (testado em 4.10.06079).

"Quando um usuário se conecta ao vpn, o processo vpndownloader.exe é iniciado em [o] plano de fundo e cria [um] diretório em c:\windows\temp com permissões padrão no [o] seguinte formato: . tmp", diz o pesquisador.

"Depois de criar este diretório, o vpndownloader.exe verificará se esse diretório está vazio e, se não estiver, excluirá todos os arquivos/diretórios nele contidos. Esse comportamento pode ser abusado para executar exclusão arbitrária de arquivo como conta NT Authority\SYSTEM."

O invasor pode gerar um shell SYSTEM por meio da exclusão arbitrária de arquivos, aproveitando esse comportamento do instalador do Windows e o fato de que um processo de atualização do cliente é executado após cada conexão VPN bem-sucedida, usando a técnica descrita aqui para aumentar os privilégios.

Em outubro, a Cisco alertou os clientes para corrigir mais duas falhas de segurança do AnyConnect (com código de exploração público e corrigido três anos antes) devido à exploração ativa em ataques.

Dois anos atrás, a Cisco corrigiu um dia zero AnyConnect com código de exploração público em maio de 2021, seis meses após sua divulgação inicial em novembro de 2020,

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/exploit-released-for-cisco-anyconnect-bug-giving-system-privileges/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #exploit #lançado #para #bug #cisco #anyconnect #dando #privilégios #de #sistema

Post a Comment