La semana pasada se lanzó públicamente un exploit (fácil-de-usar) para una vulnerabilidad parcheada que afecta a las aplicaciones Cisco AnyConnect Secure Mobility Client y Cisco Secure Client para Windows. Los atacantes podrían aprovechar el exploit para elevar sus privilegios en el sistema de la víctima y tomar el control total del mismo.
Se hace público un exploit easy-to-use para vulnerabilidades parcheadas que afecta a Cisco AnyConnect Secure Mobility Client y Cisco Secure Client para Windows.
Cisco Secure Client para Windows, anteriormente conocido como Cisco AnyConnect Secure Mobility Client antes de la versión 5.0, es una aplicación que se integra con múltiples plataformas y tecnologías de administración y seguridad de puntos finales de Cisco. Así, incluye su VPN AnyConnect y la plataforma de acceso a la red de confianza cero (ZTNA), que es popular entre las empresas.
La popularidad del software lo ha convertido en un objetivo para los atacantes en varias ocasiones. En octubre de 2022, Cisco actualizó sus avisos para dos vulnerabilidades de escalada de privilegios, que originalmente se parchearon en AnyConnect Client en 2020, para advertir a los clientes que estaban siendo explotados. Al mismo tiempo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó las fallas, rastreadas como CVE-2020-3433 y CVE-2020-3153, a su Catálogo de Vulnerabilidades Explotadas Conocidas que todas las agencias gubernamentales tienen una fecha límite para parchear.
Ataques laterales
Las vulnerabilidades de escalada de privilegios locales no se clasifican con gravedad crítica porque requieren que un atacante ya tenga algún acceso para ejecutar código en el sistema operativo. Sin embargo, esto no significa que no sean serios o valiosos para los atacantes, especialmente en un contexto de movimiento lateral.
Los empleados que tienen el Cisco AnyConnect client en las computadoras proporcionadas por la empresa para que puedan acceder a la red de la organización a través de VPN normalmente no tienen privilegios de administrador en sus sistemas. Si los atacantes logran engañar a un usuario para que ejecute un programa malicioso, ese código se ejecutará con sus privilegios limitados. Eso podría ser suficiente para el robo de datos básicos de las aplicaciones del usuario, pero no permitirá ataques más sofisticados que podrían permitirles acceder a otros sistemas. Aquí es donde entran en juego las fallas en la escalada de privilegios locales.
El exploit CVE-2023-20178
La vulnerabilidad de escalada de privilegios que Cisco parchó a principios de este mes se rastrea como CVE-2023-20178 y es causada por el mecanismo de actualización de Cisco AnyConnect Secure Mobility Client y Cisco Secure Client para Windows.
El investigador Filip Dragovic, quien encontró e informó la falla a Cisco, explica en su exploit de prueba de concepto publicada en GitHub, que cada vez que un usuario establece una conexión VPN, el software del cliente ejecuta un archivo llamado vpndownloader.exe. Este proceso crea un directorio en la carpeta c:\windows\temp con permisos predeterminados y verifica si tiene algún archivo dentro, por ejemplo, de una actualización anterior. Si se encuentran archivos, los eliminará, pero esta acción se realiza con la cuenta NT Authority\SYSTEM, la cuenta con el privilegio más alto en los sistemas Windows.
Los atacantes pueden explotar fácilmente esta acción mediante el uso de enlaces simbólicos (accesos directos) a otros archivos que crean, lo que resulta en un problema de eliminación de archivos arbitraria. ¿Cómo se convierte una eliminación de archivo en una ejecución de archivo? Abusando de una función poco conocida del servicio Windows Installer.
Los investigadores de Zero Day Initiative de Trend Micro describieron la técnica en detalle en marzo de 2022 y se la atribuyeron a un investigador llamado Abdelhamid Naceri. Este habría encontrado e informado una vulnerabilidad diferente en el Servicio de perfil de usuario de Windows, que de manera similar, condujo a la eliminación arbitraria de archivos con privilegios de SISTEMA.
Este exploit tiene una amplia aplicabilidad en los casos en los que tiene una primitiva para eliminar, mover o cambiar el nombre de una carpeta vacía arbitraria en el contexto del SISTEMA o un administrador.
Cisco actualizó su aviso para CVE-2023-20178 para advertir a los usuarios que ahora hay disponible un exploit público. La empresa insta a los clientes a actualizar Cisco AnyConnect Secure Mobility Client para Windows a la versión 4.10MR7 (4.10.07061) o posterior, y Cisco Secure Client para Windows a la versión 5.0MR2 (5.0.02075) o posterior.