在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中,发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用,本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限,给软件用户带来严重的安全风险。
CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果,问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制(UAC)提示的情况下启动安装程序,从而触发安装修复。在修复过程中,一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行,并与程序文件目录下的 libeay32.dll 文件交互。
Baer 解释说,这个过程打开了一个重大漏洞: “在使用 msiexec.exe 的修复功能时,发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口”。这样,攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统,从而完全控制机器。
开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件(即使该文件已从其原始位置删除)并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe,攻击者可以锁定 libeay32.dll,修复过程中会多次访问 libeay32.dll。
通过在特定时间点小心地释放和保持锁,攻击者可以确保 conhost.exe 窗口保持打开,从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭,因此可以与之交互,”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。
分析显示,GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2,但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过,5.2.x 版本已达到使用寿命,将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本,以降低风险。
发表评论
您还未登录,请先登录。
登录