A Microsoft nyilvánosságra hozott négy OpenVPN sérülékenységet

A Microsoft négy közepes súlyosságú sérülékenységet hozott nyilvánosságra a nyílt forráskódú OpenVPN szoftverben, amelyek távoli kódfuttatást (RCE – Remote Code Execution) és helyi jogosultság kiterjesztést (LPE- Local Privilege Escalation) eredményezhetnek.

1. ábra OpenVPN kliens szerver forrás: (microsoft.com)

 

A Microsoft Threat Intelligence Community nyilatkozata alapján ez a támadási lánc lehetővé teszi a támadók számára, hogy teljesen átvegyék az irányítást a végpontok felett, ezáltal jogosulatlanul hozzáférhetnek érzékeny információkhoz, adatszivárgást és rendszerkompromittálódást okozva.

A sebezhetőségek az OpenVPN 2.6.10 és 2.5.10 előtti összes verzióját érintik.

  • CVE-2024-27459 – Stack overflow sebezhetőség, DoS állapotot és LPE-t eredményez a Windows rendszerben
  • CVE-2024-24974 – Jogosulatlan hozzáférés az “\\\openvpn\\\service”-hez a Windowsban, lehetővé téve a támadók számára a távoli hozzáférést és műveletek indítását
  • CVE-2024-27903 – A plugin mechanizmusának sebezhetősége, amely Windows rendszerben RCE-t okoz, valamint Android, iOS, macOS és BSD rendszerekben pedig LPE-t és adat manipulációt eredményez.
  • CVE-2024-1305 – Memóriatúlcsordulást okozó sebezhetőség, amely DoS-t eredményez a Windows rendszerben

A felsorolt négy sérülékenység közül az első három az openvpnserv nevű összetevőben rejlik, míg az utolsó a Windows Terminal Access Point (TAP) driverében található.

Az összes sebezhetőség kihasználható, amint a támadók hozzáférést szereznek a felhasználó OpenVPN hitelesítő adataihoz. Ehhez különféle módszereket alkalmaznak. A darkweben megveszik az ellopott hitelesítő adatokat, adatalopó malwareket használnak vagy a hálózati forgalom figyelése során rögzítik az NTLMv2 hash-eket, majd cracking eszközökkel (HashCat, John the Ripper) dekódolják azokat.

A támadók a sérülékenységeket az alábbi kombinációkban fűzhetik össze egy hatékony támadási lánc létrehozásához:

CVE-2024-24974 és CVE-2024-27903 vagy CVE-2024-27459 és CVE-2024-27903

Ezekkel a technikákkal a támadók letilthatják a Protect Process Light (PPL) funkciót például a Microsoft Defender alkalmazásban, vagy megkerülve azt, manipulálhatják a rendszer alapvető funkcióit anélkül, hogy ezt bárki észlelné.

 

(thehackernews.com)