Details zur Cisco AnyConnect Secure Mobility Client-Schwachstelle CVE-2020-3153

Publiziert am 23. April 2020 von Günter Born

[English]In der Windows-Version von Cisco-Clients AnyConnect Secure Mobility gibt es die Schwachstelle CVE-2020-3153. Hier einige Informationen zu dieser Schwachstelle.

Anzeige

Im Cisco AnyConnect Secure Mobility Client für Windows gibt es eine Privilege Escalation Schwachstelle. Über folgenden Tweet bin ich vor einigen Tagen auf das Thema aufmerksam geworden.

Der unabhängige Sicherheitsforscher Yorick Koster hat diese Schwachstelle im SSD Secure Disclosure Programm gemeldet.

Die Schwachstelle CVE-2020-3153

Die Schwachstelle CVE-2020-3153 befindet sich in der Installationsprogramm-Komponente des Cisco AnyConnect Secure Mobility Client for Windows. Der Cisco AnyConnect Secure Mobility Client enthält Funktionen zur automatischen Aktualisierung mit Updates.

Die automatische Aktualisierung funktioniert auch für Benutzer mit geringen Privilegien, da diese von einem Dienst namens Cisco AnyConnect Secure Mobility Agent initiiert und mit SYSTEM-Privilegien ausgeführt wird. Dieser Dienst stellt den TCP-Port 62522 auf dem Loopback-Gerät frei, mit dem sich Clients verbinden und Befehle senden können, die von diesem Dienst verarbeitet werden sollen. Einer dieser Befehle besteht darin, die Anwendung vpndownloader zu starten und AnyConnect zu aktualisieren.

Eine gefundene Sicherheitslücke könnte es einem authentifizierten lokalen Angreifer ermöglichen, diesen Auto-Update-Funktion zu missbrauchen, um von Standardbenutzerkonten bereitgestellte Dateien mit den erforderlichen Systemberechtigungen in Verzeichnisse auf Systemebene zu kopieren.

Die Schwachstelle ist auf die falsche Handhabung von Verzeichnispfaden (Directory Traversal) zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Datei erstellt und die Datei in ein Systemverzeichnis kopieren lässt. Die Schwachstelle ermöglicht es dem Angreifer u.U. Dateien mit Schadsoftware an beliebige Orte mit Berechtigungen auf Systemebene zu kopieren. Dies könnte das Vorladen von DLLs, die DLL-Hijacking und andere verwandte Angriffe umfassen. Um diese Schwachstelle auszunutzen, benötigt der Angreifer gültige Anmeldedaten auf dem Windows-System.

Was ist betroffen? Patch verfügbar

Die Schwachstelle betrifft laut Yorick Koster den Cisco AnyConnect Secure Mobility Client für Windows bis zur Version 4.8.01090. Cisco hat zum 19. April ein Advisory veröffentlicht und einen Patch auf die Version 4.8.02042 freigegeben. Details finden sich auf dieser Webseite lässt.

Anzeige

Wer Cisco IP-Telefone einsetzt, sollte ein Update einspielen, um Sicherheitslücken zu schließen. Details finden sich in diesem heise-Beitrag von voriger Woche.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.