emmmmmmm~~~

不知道现在对各位说一句圣诞快乐

是不是有点太晚了

如果不能成为第一个祝福你的人

那么

就做最后一个吧

漏洞编号

  • CVE ID: CVE-2017-7344

  • Intrinsec ID: ISEC-V2017-01

影响版本

  • FortiClient Windows 5.6.0

  • FortiClient Windows 5.4.3及更早的版本

利用条件

  • 需要FortiClient客户端的非默认配置,即在登录前启用VPN。

  • 在VPN端点上需要一个无效的证书,或者一个MITM攻击者提供一个无效的证书。

漏洞危害

  • 提升访客权限至管理员

  • 绕过Windows锁屏,本地或远程登录PC

漏洞分析

FortiClient是用于连接到SSL / IPsec VPN端点的客户端程序。此漏洞存在于程序处理服务器证书无效时显示的确认对话框处。

默认情况下,禁用的设置使登录屏幕上的FortiClient允许用户在登录前连接到VPN配置文件。攻击者可以从本地或者远程,利用FortiClient访问具有此功能的计算机,从而在锁屏界面就获取SYSTEM级权限。


 解决方案

升级到FortiClient Windows 5.4.4或5.6.1。但即便是最新的版本,我们同样发现了一些绕过修复补丁的方法。

  • 启用“禁止警告无效的服务器证书”选项。但是小编强烈建议不要这样做,因为这样就允许无声的中间人(Man-in-the-Middle)攻击。

  • 在VPN端点上部署一个有效的证书。但是当攻击者处于MITM状态时,无论合法的服务器证书如何,他们都会向FortiClient提供一个无效的证书,这同样不能彻底解决问题。

说白了就是——扁鹊三连

利用步骤

以Windows 7 Professional x64为例

用FortiGate端点在FortiClient中创建VPN连接(或尝试任何具有无效证书的域,例如expired.badssl.com):

在FortiClient中启用“登录前的VPN”设置

注销

现在,电脑已经存在了被攻击的风险

在登录屏幕上,选择VPN配置文件并输入任意密码。如果证书无效,当连接确认对话框出现,然后点击“查看证书”。

选择“详细信息”选项,点击“复制到文件”

点击“下一步”直到屏幕显示“浏览”按钮

浏览到“C:\ Windows \ System32”,在文件名中输入通配符“*”来显示每个文件。找到cmd.exe,点击右键,然后点击“打开”:

现在

你已经得到了一个具有SYSTEM权限的shell

攻击者可以创建一个本地管理员帐户

并使用它登录

是时候换一个VPN了

更多黑客新闻,最新技术,黑客故事,请关注:行长叠报

转载请在文首注明:本文经漏洞银行(ID:BUG_BANK)授权转载,如需转载请联系漏洞银行进行授权