Na quinta-feira, a Microsoft divulgou quatro falhas de segurança de gravidade média no software program de código aberto OpenVPN que podem ser encadeadas para obter execução remota de código (RCE) e escalonamento de privilégios locais (LPE).
“Essa cadeia de ataque pode permitir que invasores obtenham controle complete sobre endpoints alvos, resultando potencialmente em violações de dados, comprometimento do sistema e acesso não autorizado a informações confidenciais”, disse Vladimir Tokarev, da Comunidade de Inteligência de Ameaças da Microsoft.
Dito isso, o exploit, apresentado pela Black Hat USA 2024, requer autenticação do usuário e um entendimento avançado do funcionamento interno do OpenVPN. As falhas afetam todas as versões do OpenVPN anteriores à versão 2.6.10 e 2.5.10.
A lista de vulnerabilidades é a seguinte:
- CVE-2024-27459 – Uma vulnerabilidade de estouro de pilha que leva a uma negação de serviço (DoS) e LPE no Home windows
- CVE-2024-24974 – Acesso não autorizado ao pipe nomeado “openvpnservice” no Home windows, permitindo que um invasor interaja remotamente com ele e inicie operações nele
- CVE-2024-27903 – Uma vulnerabilidade no mecanismo de plug-in que leva ao RCE no Home windows e LPE e manipulação de dados no Android, iOS, macOS e BSD
- CVE-2024-1305 – Uma vulnerabilidade de estouro de memória que leva a DoS no Home windows
As três primeiras das quatro falhas estão enraizadas em um componente chamado openvpnserv, enquanto a última reside no driver do Home windows Terminal Entry Level (TAP).
Todas as vulnerabilidades podem ser exploradas quando um invasor obtém acesso às credenciais OpenVPN de um usuário, o que, por sua vez, pode ser obtido por meio de vários métodos, incluindo a compra de credenciais roubadas na darkish internet, o uso de malware ladrão ou a detecção de tráfego de rede para capturar hashes NTLMv2 e, em seguida, usar ferramentas de cracking como HashCat ou John the Ripper para decodificá-los.
Um invasor poderia então ser encadeado em diferentes combinações — CVE-2024-24974 e CVE-2024-27903 ou CVE-2024-27459 e CVE-2024-27903 — para atingir RCE e LPE, respectivamente.
“Um invasor pode aproveitar pelo menos três das quatro vulnerabilidades descobertas para criar explorações que facilitem o RCE e o LPE, que podem então ser encadeadas para criar uma poderosa cadeia de ataque”, disse Tokarev, acrescentando que eles podem aproveitar métodos como Carry Your Personal Weak Driver (BYOVD) após atingir o LPE.
“Por meio dessas técnicas, o invasor pode, por exemplo, desabilitar o Defend Course of Mild (PPL) para um processo crítico, como o Microsoft Defender, ou ignorar e interferir em outros processos críticos no sistema. Essas ações permitem que os invasores ignorem produtos de segurança e manipulem as principais funções do sistema, fortalecendo ainda mais seu controle e evitando a detecção.”