使用 NAM 在思科安全客户端中执行代码 – CVE-2024-20391
使用 NAM 在思科安全客户端中执行代码 – CVE-2024-20391
Ots安全 2024-05-19 12:37
描述
Secure Client 利用强大的行业领先的 AnyConnect VPN/ZTNA,帮助 IT 和安全专业人员在统一视图中管理动态且可扩展的端点安全代理。
问题
当思科安全客户端使用 NAM(网络访问管理器)并且 Windows Wi-Fi 上下文菜单被思科的上下文菜单取代时,具有物理访问权限的攻击者可以在受影响的计算机上以 SYSTEM 身份执行命令。
时间线
| 日期 | 描述 |
|---|---|
| 2024年3月25日 | 已发送至思科的咨询 |
| 2024年3月25日 | 思科立案 |
| 2024年4月1日 | 思科确认了该漏洞 |
| 2024年4月30日 | 思科表示 5.1.62 版本修复了该漏洞 |
| 2024年5月15日 | 思科发布咨询报告 |
| 2024年5月17日 | 公开发布 |
技术细节
作为 SYSTEM 执行代码
描述
当笔记本电脑安装了带有 NAM 模块的 Cisco 安全客户端并且 Windows Wi-Fi 上下文菜单被 Cisco 的上下文菜单取代时,在访问锁定的笔记本电脑时,可以从登录屏幕打开 Cisco 窗口。
单击此按钮时,将打开 Cisco Secure Client 上下文菜单:
然后,可以添加 Wi-Fi 网络:
将打开带有配置选项的菜单:
选项允许指定在建立新配置的连接时要执行的脚本。选择此脚本的图标会打开一个资源管理器:
选择 后cmd.exe,将在该帐户下运行命令提示符SYSTEM。
影响
此行为允许在NT Authority/System具有最高权限的帐户下运行任何命令。这允许损害底层机器并访问它包含的任何数据。
原文地址:
https://www.synacktiv.com/advisories/code-execution-in-cisco-secure-client-with-nam
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里