Palo Alto Networks 的 GlobalProtect MSI 安装程序存在本地权限提升漏洞

阅读量35303

发布时间 : 2024-10-10 11:25:26

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/researcher-details-privilege-escalation-in-palo-alto-networks-globalprotect-msi-installer-cve-2024-9473/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-9473

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中,发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用,本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限,给软件用户带来严重的安全风险。

CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果,问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制(UAC)提示的情况下启动安装程序,从而触发安装修复。在修复过程中,一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行,并与程序文件目录下的 libeay32.dll 文件交互。

Baer 解释说,这个过程打开了一个重大漏洞: “在使用 msiexec.exe 的修复功能时,发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口”。这样,攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统,从而完全控制机器。

开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件(即使该文件已从其原始位置删除)并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe,攻击者可以锁定 libeay32.dll,修复过程中会多次访问 libeay32.dll。

通过在特定时间点小心地释放和保持锁,攻击者可以确保 conhost.exe 窗口保持打开,从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭,因此可以与之交互,”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。

分析显示,GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2,但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过,5.2.x 版本已达到使用寿命,将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本,以降低风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66