انتشار وصله امنیتی برای آسیبپذیری موجود در Forcepoint VPN Client ویندوز
محققان شركت شبيه سازی نقض و حمله SafeBreach، كشف كردهاند كه Forcepoint VPN Client براي ويندوز، در معرض نوعی آسيبپذيری قرار دارد كه میتواند برای محدود کردن امتيازات و اهداف ديگر مورد سوءاستفاده قرار بگيرد.
این نقص، با شناسه CVE-2019-6145 ردیابی شده و تحت عنوان یک مسئله جستجوی نامشخص توصیف میشود و بر Forcepoint VPN Client برای نسخههای قبل از 6.6.1 ویندوز تأثیر میگذارد، که شامل یک وصله است.
مطابق گفتههای SafeBreach، هنگام راه اندازی برنامه، فرایندی به نام sgvpn.exe با امتیازات NT AUTHORITY \ SYSTEM اجرا میشود. این فرآیند سعی در اجرای چندین فایل اجرایی از پوشه “C:\” and the “C:\Program Files (x86)\Forcepoint\” دارد.
برخی از پروندههای exe. موجود نیستند و این امر به مهاجمی که دارای امتیازات مدیریتی است، اجازه میدهد که بتواند اقدامات مخرب خود را در این مکانها صورت دهد و با راه اندازی برنامه Forcepoint، این برنامههای مخرب اجرا میشوند.
از آنجایی که سرویس بهره برداری توسط Forecepoint امضا شده است، مهاجمان میتوانند از آن برای کشف یا دور زدن مکانیسمهای لیست سفید برنامه، سوءاستفاده کنند. بنابر اظهارات SafeBreach، از آنجا که این سرویس بر روی هر بوت بارگذاری میشود، عاملان مخرب همچنین میتوانند آسیبپذیری را برای تداوم بدافزار خود بر روی یک سیستم تشدید نمایند.
این آسیبپذیری در 5 سپتامبر به Forcepoint گزارش شد و در 19 سپتامبر با انتشار نسخه 6.6.1 برطرف گردید. از سوی دیگر، کاربران میتوانند با اطمینان از اینكه کاربران فرعی (غیر ادمین) نمیتوانند فایلهای اجرایی را در “C:\” و “C:\Program Files (x86)\Forcepoint\” ایجاد یا كپی كنند، از اینگونه سوءاستفادهها جلوگیری نمایند. فروشنده این برنامه، خاطرنشان کرده است که تنها کاربران ادمین مجاز هستند به طور پیشفرض از این مکانها استفاده کنند.
محققان SafeBreach، پیش از این آسیبپذیریهای مشابهی را در محصولات بیتدیفندر، ترند میکرو و چک پویند مشاهده کرده بودند.