Crédit : Dreamstime
Une utilisation conviviale a été lancée publiquement aujourd’hui pour un correctif vulnérabilité qui affecte les applications Cisco AnyConnect Secure Mobility Customer et Cisco Secure Customer largement utilisées pour Windows. Les opposants pourraient profiter de l’utilisation pour augmenter leurs avantages sur le système de la victime et en prendre le contrôle total.
Cisco Secure Customer for Windows, anciennement connu sous le nom de Cisco AnyConnect Secure Movement Customer avant la version 5.0, est une application qui s’intègre à de nombreuses plates-formes et innovations de sécurité et de gestion des terminaux Cisco, notamment son VPN AnyConnect et sa plate-forme d’accès réseau zéro confiance (ZTNA), qui est populaire auprès des entreprises.
La popularité du logiciel en a fait une cible pour les adversaires avant. En octobre 2022, Cisco a mis à jour ses avis pour deux vulnérabilités d’escalade de privilèges, qui ont été initialement corrigées dans le client AnyConnect en 2020, pour avertir les clients qu’elles étaient exploitées dans la nature.
Au même moment, la société américaine de cybersécurité et de sécurité des installations (CISA) a inclus les failles, identifiées comme CVE-2020-3433 et CVE-2020-3153, à son catalogue de vulnérabilités exploitées connues que toutes les entreprises du gouvernement fédéral ont un délai pour repérer.
Les vulnérabilités d’escalade des avantages régionaux ne sont pas évaluées avec une gravité vitale en raison du fait qu’elles nécessitent qu’un ennemi ait déjà un certain accès pour effectuer code sur l’os. Cependant, cela ne signifie pas qu’ils ne sont pas sérieux ou importants pour les opposants, en particulier dans un contexte de mouvement latéral.
Les travailleurs qui ont le client Cisco AnyConnect sur les systèmes informatiques de leur entreprise afin qu’ils puissent accéder au réseau de l’organisation au moyen d’un VPN n’ont généralement pas d’avantages d’administrateur sur leurs systèmes.
Si les adversaires parviennent à tromper un utilisateur pour qu’il exécute un programme nuisible, ce code maintiendra leurs opportunités limitées.
Cela peut être suffisant pour le vol de données de base des applications de l’utilisateur, mais ne permettra pas des attaques plus avancées telles que la suppression des informations d’identification régionales enregistrées dans Windows qui pourraient potentiellement leur permettre d’accéder à d’autres systèmes. C’est ici que les défauts d’escalade de privilèges régionaux entrent en jeu.
Le CVE-2023-20178 utilise
La vulnérabilité d’escalade de privilèges que Cisco a corrigée précédemment ce mois-ci est suivi comme CVE-2023-20178 et est causé par le mécanisme de mise à jour de Cisco AnyConnect Secure Mobility Client et Cisco Secure Client pour Windows.
Le chercheur Filip Dragovic, qui a découvert et signalé la faille à Cisco, discute dans son exploit de preuve de concept publié sur GitHub selon lequel chaque fois qu’un utilisateur établit une connexion VPN, l’application logicielle cliente exécute un fichier appelé vpndownloader.exe.
Cette procédure produit un site de répertoire dans le c: windowstemp dossier avec les consentements par défaut et vérifie s’il contient des fichiers, par exemple d’une mise à niveau précédente. Si des fichiers sont découverts, il les supprimera, mais cette action est effectuée avec le compte NT AuthoritySYSTEM, le plus grand compte privilégié sur les systèmes Windows.
Les attaquants peuvent rapidement exploiter cette action en utilisant des liens symboliques (moyens plus rapides ) à d’autres fichiers qu’ils produisent, entraînant un problème de suppression arbitraire de fichiers. Comment une suppression de fichier finit-elle par être une exécution de fichier ? En abusant d’une fonction obscure du service Windows Installer. Les chercheurs de Pattern Micro’s Absolutely no Day Effort ont expliqué la méthode en détail en mars 2022 et l’ont attribuée à un scientifique appelé Abdelhamid Naceri, qui a découvert et signalé une vulnérabilité différente dans le service de profil utilisateur Windows qui a également conduit à une suppression approximative des fichiers avec les avantages du SYSTÈME. .
« Cette utilisation de a une large applicabilité dans les cas où vous avez une primitive pour supprimer, déplacer ou renommer un dossier vide approximatif dans le contexte de SYSTEM ou d’un administrateur », ont déclaré les scientifiques de Trend Micro à l’heure.
Cisco a mis à jour son avis pour CVE-2023-20178 pour avertir les utilisateurs qu’un exploit public est désormais facilement disponible. La société conseille aux clients de mettre à jour Cisco AnyConnect Secure Mobility Client pour Windows vers la version 4.10 MR7 (4.10.07061) ou ultérieure, et Cisco Secure Client pour Windows vers la version 5.0 MR2 (5.0.02075) ou ultérieure.
Toute l’actualité en temps réel, est sur L’Entrepreneur