Forcepoint VPN被曝有提权漏洞

　　SafeBreach Labs的安全专家Peleg Hadar发现了一个提权漏洞，被标记为CVE-2019-6145，该漏洞会影响Windows Forcepoint VPN Client的所有版本。

　　在低于6.6.1的软件版本中，Forcepoint VPN客户端服务(sgvpn.exe)尝试从以下位置执行执行“sgpm.exe：“C:\Program.exe”和“C:\Program Files(x86)\Forcepoint\VPN.exe”。

　　由于Forcepoint服务已经签名验证，并在系统启动时执行，这意味着任何注入的可执行文件都将继承其权限，并且可以在启动时执行。攻击者可以植入任意未签名的可执行文件，该可执行文件由作为具有NT AUTHORITY\SYSTEM权限的已签名服务执行。

　　Peleg Hadar解释说，问题的根本原因是命令行下可执行文件的路径和参数之间没有的带引号的字符串，当解析整个字符串时，空格字符会中断路径。CreateProcessW函数每次解析空格字符时都会尝试将字符串拆分。

　　该漏洞使攻击者能够通过已签名的服务执行代码。Peleg Hadar于9月5日向Forcepoint报告了该漏洞，该公司确认了此问题，并通过发布Forcepoint VPN Client 6.6.1版本解决了该问题。