Bir güvenlik araştırmacısı, bu ayın başlarında yamalanan bir Cisco güvenlik açığı için bir istismar yayınladı.
CVE-2023-20178 güvenlik açığı, bir ayrıcalık yükseltme hatasıdır.
Cisco, danışma belgesinde, “Windows için Cisco AnyConnect güvenli mobilite istemci yazılımının ve Windows için Cisco Güvenli İstemci yazılımının istemci güncelleme sürecindeki bir güvenlik açığının, düşük ayrıcalıklı, kimliği doğrulanmış, yerel bir saldırganın ayrıcalıkları diğerlerine yükseltmesine izin verebileceğini” açıkladı. SİSTEM.
Satıcı, “İstemci güncelleme işlemi, başarılı bir VPN bağlantısı kurulduktan sonra yürütülür” dedi.
“Bu güvenlik açığı, güncelleme işlemi sırasında oluşturulan geçici bir dizine uygunsuz izinler atandığından kaynaklanmaktadır.
“Bir saldırgan, Windows yükleyici işleminin belirli bir işlevini kötüye kullanarak bu güvenlik açığından yararlanabilir.
“Başarılı bir istismar, saldırganın SİSTEM ayrıcalıklarıyla kod yürütmesine izin verebilir.”
Cisco, güvenlik açığının keşfini, şimdi GitHub’da bir kavram kanıtı yayınlayan Filip Dragoviç’e bağladı.
Dragoviç, sorunun istemci yazılımını başlatma sırasında güncelleyen vpndownloader.exe işleminde olduğunu söyledi.
Güncelleyici, çalıştırılacak güncelleme yoksa silinen bir geçici dizin oluşturur.
Dragovic, “Bu davranış, NT Authority\SYSTEM hesabı olarak rasgele dosya silme gerçekleştirmek için kötüye kullanılabilir” diye yazdı.
“Daha sonra keyfi dosya silme, Windows yükleyici davranışını kötüye kullanarak sistem cmd işlemlerini oluşturmak için kullanılır.”
İsteğe bağlı silme, ayrıcalık yükseltme için kullanılabilir, örneğin, Zero Day Initiative’in bu makalede açıkladığı gibi, yüksek ayrıcalıklı bir dizini kaldırıp aynı ada sahip düşük ayrıcalıklı bir dizin oluşturarak.