Microsoft onthult vier OpenVPN-fouten die kunnen leiden tot RCE en LPE

Microsoft heeft donderdag vier beveiligingslekken van gemiddelde ernst in de open-source OpenVPN-software bekendgemaakt die aan elkaar gekoppeld kunnen worden om remote code execution (RCE) en local privilege escalation (LPE) mogelijk te maken.

“Deze aanvalsketen kan aanvallers in staat stellen om volledige controle te krijgen over de beoogde eindpunten, wat kan leiden tot datalekken, systeemcompromissen en ongeautoriseerde toegang tot gevoelige informatie”, aldus Vladimir Tokarev van de Microsoft Threat Intelligence Community.

Dat gezegd hebbende, vereist de exploit, gepresenteerd door Black Hat USA 2024, gebruikersauthenticatie en een geavanceerd begrip van de interne werking van OpenVPN. De fouten hebben invloed op alle versies van OpenVPN vóór versie 2.6.10 en 2.5.10.

De lijst met kwetsbaarheden is als volgt:

  • CVE-2024-27459 – Een stack overflow-kwetsbaarheid die leidt tot een Denial-of-service (DoS) en LPE in Windows
  • CVE-2024-24974 – Ongeautoriseerde toegang tot de “\openvpn\service” named pipe in Windows, waardoor een aanvaller op afstand ermee kan communiceren en er bewerkingen op kan uitvoeren
  • CVE-2024-27903 – Een kwetsbaarheid in het plug-inmechanisme dat leidt tot RCE in Windows, en LPE en gegevensmanipulatie in Android, iOS, macOS en BSD
  • CVE-2024-1305 – Een geheugenoverloopkwetsbaarheid die leidt tot DoS in Windows

De eerste drie van de vier fouten zijn geworteld in een component met de naam openvpnserv, terwijl de laatste zich bevindt in de Windows Terminal Access Point (TAP)-driver.

OpenVPN

Alle kwetsbaarheden kunnen worden misbruikt zodra een aanvaller toegang krijgt tot de OpenVPN-inloggegevens van een gebruiker. Deze inloggegevens kunnen vervolgens op verschillende manieren worden verkregen, zoals door gestolen inloggegevens te kopen op het dark web, door stealer-malware te gebruiken of door netwerkverkeer te bespioneren om NTLMv2-hashes te bemachtigen en deze vervolgens te decoderen met behulp van kraaktools zoals HashCat of John the Ripper.

Een aanvaller kan vervolgens in verschillende combinaties worden gekoppeld – CVE-2024-24974 en CVE-2024-27903 of CVE-2024-27459 en CVE-2024-27903 – om respectievelijk RCE en LPE te bereiken.

“Een aanvaller zou ten minste drie van de vier ontdekte kwetsbaarheden kunnen gebruiken om exploits te creëren om RCE en LPE te faciliteren. Deze zouden vervolgens aan elkaar gekoppeld kunnen worden om een ​​krachtige aanvalsketen te creëren”, aldus Tokarev. Hij voegde toe dat ze methoden als Bring Your Own Vulnerable Driver (BYOVD) zouden kunnen gebruiken nadat LPE is bereikt.

“Via deze technieken kan de aanvaller bijvoorbeeld Protect Process Light (PPL) uitschakelen voor een kritiek proces zoals Microsoft Defender of andere kritieke processen in het systeem omzeilen en ermee knoeien. Deze acties stellen aanvallers in staat om beveiligingsproducten te omzeilen en de kernfuncties van het systeem te manipuleren, waardoor hun controle verder wordt verstevigd en detectie wordt vermeden.”

Thijs Van der Does