Microsoft reveló el jueves cuatro fallas de seguridad de gravedad media en
el software de código abierto OpenVPN que podrían encadenarse para lograr la
ejecución remota de código (RCE) y la escalada de privilegios locales
(LPE).
«Esta cadena de ataques podría permitir a los atacantes obtener el control
total sobre los puntos finales seleccionados, lo que podría resultar en
violaciones de datos, compromiso del sistema y acceso no autorizado a
información confidencial»,
dijo Vladimir Tokarev de la Comunidad de Inteligencia de Amenazas de Microsoft.
Dicho esto, el exploit,
presentado por Black Hat USA 2024, requiere la autenticación del usuario y un conocimiento avanzado del
funcionamiento interno de OpenVPN. Las fallas afectan a todas las versiones de
OpenVPN anteriores a la versión
2.6.10
y
2.5.10.
La
lista de vulnerabilidades
es la siguiente:
-
CVE-2024-27459: una vulnerabilidad de desbordamiento de pila que conduce a
una denegación de servicio (DoS) y LPE en Windows -
CVE-2024-24974: acceso no autorizado a la canalización con nombre
«\openvpn\service» en Windows, lo que permite a un atacante
interactuar de forma remota con ella y ejecutar operaciones en ella -
CVE-2024-27903: una vulnerabilidad en el mecanismo del complemento que
conduce a RCE en Windows y LPE y manipulación de datos en Android, iOS,
macOS y BSD -
CVE-2024-1305: una vulnerabilidad de desbordamiento de memoria que conduce a
DoS en Windows
Las primeras tres de las cuatro fallas tienen su raíz en un componente llamado
openvpnserv, mientras que la última reside en el controlador del punto
de acceso de terminal (TAP) de Windows.
Todas las vulnerabilidades pueden explotarse una vez que un atacante
obtiene acceso a las credenciales OpenVPN de un usuario,
que, a su vez, pueden obtenerse a través de varios métodos, incluida la compra
de credenciales robadas en la web oscura, el uso de malware ladrón o el
rastreo del tráfico de red para capturar hashes NTLMv2 y luego usar
herramientas de descifrado como HashCat o John the Ripper para decodificarlos.
Un atacante podría entonces encadenarse en diferentes combinaciones
(CVE-2024-24974 y CVE-2024-27903 o CVE-2024-27459 y CVE-2024-27903) para
lograr RCE y LPE, respectivamente.
«Un atacante podría aprovechar al menos tres de las cuatro vulnerabilidades
descubiertas para crear exploits que faciliten la RCE y la LPE, que luego
podrían encadenarse para crear una poderosa cadena de ataque», dijo Tokarev, y agregó que podrían aprovechar métodos como
Bring Your Own Vulnerable Driver (BYOVD)
después de lograr la LPE.
A través de estas técnicas, el atacante puede, por ejemplo, deshabilitar
Protect Process Light (PPL) para un proceso crítico como Microsoft Defender o
eludir e interferir con otros procesos críticos en el sistema. Estas acciones
permiten a los atacantes eludir los productos de seguridad y manipular las
funciones principales del sistema, afianzando aún más su control y evitando la
detección.
Fuente:
THN
Los comentarios están cerrados.