Un code d’exploitation de preuve de concept est désormais disponible pour une faille très grave dans Cisco Secure Client Software pour Windows (anciennement AnyConnect Secure Mobility Client) qui peut permettre aux attaquants d’élever les privilèges à SYSTEM.
Cisco Secure Client aide les employés à travailler de n’importe où à l’aide d’un réseau privé virtuel (VPN) sécurisé et fournit aux administrateurs réseau des fonctionnalités de télémétrie et de gestion des terminaux.
La vulnérabilité (suivie sous le nom de CVE-2023-20178) peut permettre aux pirates authentifiés d’élever les privilèges au compte SYSTEM utilisé par le système d’exploitation Windows dans les attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
Une exploitation réussie nécessite d’abuser de ce que Cisco décrit comme une « fonction spécifique du processus d’installation de Windows ».
Cisco a publié mardi dernier des mises à jour de sécurité pour résoudre ce bogue de sécurité lorsqu’il a déclaré que son équipe de réponse aux incidents de sécurité des produits (PSIRT) n’avait aucune preuve d’utilisation malveillante ou de code d’exploitation public ciblant le bogue dans la nature.
CVE-2023-20178 a été corrigé avec la version d’AnyConnect Secure Mobility Client pour Windows 4.10MR7 et Cisco Secure Client pour Windows 5.0MR2.
Plus tôt cette semaine, un code d’exploitation de preuve de concept (PoC) a été publié par le chercheur en sécurité Filip Dragović qui a découvert et signalé la vulnérabilité Arbitrary File Delete à Cisco.
Comme l’explique Dragović, ce PoC a été testé sur Cisco Secure Client (testé sur 5.0.01242) et Cisco AnyConnect (testé sur 4.10.06079).
« Lorsqu’un utilisateur se connecte à vpn, le processus vpndownloader.exe est lancé en arrière-plan [the], et il créera [un] répertoire dans c:\windows\temp avec les autorisations par défaut au format suivant : . tmp », explique le chercheur.
« Après avoir créé ce répertoire, vpndownloader.exe vérifiera si ce répertoire est vide, et s’il ne l’est pas, il supprimera tous les fichiers/répertoires qu’il contient. Ce comportement peut être abusé pour effectuer une suppression arbitraire de fichiers en tant que compte NT Authority\SYSTEM. »
L’attaquant peut ensuite générer un shell SYSTEM via la suppression arbitraire de fichiers en tirant parti de ce comportement du programme d’installation de Windows et du fait qu’un processus de mise à jour du client est exécuté après chaque connexion VPN réussie, en utilisant la technique décrite ici pour élever les privilèges.
En octobre, Cisco a averti les clients de corriger deux autres failles de sécurité AnyConnect (avec un code d’exploitation public et corrigées trois ans auparavant) en raison de l’exploitation active dans les attaques.
Il y a deux ans, Cisco a corrigé un zero-day AnyConnect avec un code d’exploitation public en mai 2021, six mois après sa divulgation initiale en novembre 2020,