انتشار وصله امنیتی برای آسیب‌پذیری موجود در Forcepoint VPN Client ویندوز

محققان شركت شبيه سازی نقض و حمله SafeBreach، كشف كرده‌اند كه Forcepoint VPN Client براي ويندوز، در معرض نوعی آسيب‌پذيری قرار دارد كه می‌تواند برای محدود کردن امتيازات و اهداف ديگر مورد سوءاستفاده قرار بگيرد.

این نقص، با شناسه CVE-2019-6145 ردیابی شده و تحت عنوان یک مسئله جستجوی نامشخص توصیف می‌شود و بر Forcepoint VPN Client برای نسخه‌های قبل از 6.6.1 ویندوز تأثیر می‌گذارد، که شامل یک وصله است.

مطابق گفته‌های SafeBreach، هنگام راه اندازی برنامه، فرایندی به نام sgvpn.exe با امتیازات NT AUTHORITY \ SYSTEM اجرا می‌شود. این فرآیند سعی در اجرای چندین فایل اجرایی از پوشه “C:\” and the “C:\Program Files (x86)\Forcepoint\” دارد.

برخی از پرونده‌های exe. موجود نیستند و این امر به مهاجمی که دارای امتیازات مدیریتی است، اجازه می‌‎دهد که بتواند اقدامات مخرب خود را در این مکان‌ها صورت دهد و با راه اندازی برنامه Forcepoint، این برنامه‌های مخرب اجرا می‌شوند.

از آنجایی که سرویس بهره برداری توسط Forecepoint امضا شده است، مهاجمان می‌توانند از آن برای کشف یا دور زدن مکانیسم‌های لیست سفید برنامه، سوءاستفاده کنند. بنابر اظهارات SafeBreach، از آنجا که این سرویس بر روی هر بوت بارگذاری می‌شود، عاملان مخرب همچنین می‌توانند آسیب‌پذیری را برای تداوم بدافزار خود بر روی یک سیستم تشدید نمایند.

این آسیب‌پذیری در 5 سپتامبر به Forcepoint گزارش شد و در 19 سپتامبر با انتشار نسخه 6.6.1 برطرف گردید. از سوی دیگر، کاربران می‌توانند با اطمینان از اینكه کاربران فرعی (غیر ادمین) نمی‌توانند فایل‌های اجرایی را در “C:\” و “C:\Program Files (x86)\Forcepoint\” ایجاد یا كپی كنند، از اینگونه سوءاستفاده‌ها جلوگیری نمایند. فروشنده این برنامه، خاطرنشان کرده است که تنها کاربران ادمین مجاز هستند به طور پیش‌فرض از این مکان‌ها استفاده کنند.

محققان SafeBreach، پیش از این آسیب‌پذیری‌های مشابهی را در محصولات بیت‌دیفندر، ترند میکرو و چک پویند مشاهده کرده بودند.

 

 

خروج از نسخه موبایل