📚 Cisco AnyConnect Secure Mobility Client vor 4.3.05017/4.4.00243 Start Before Logon erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Cisco AnyConnect Secure Mobility Client wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente Start Before Logon. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 08.02.2017 als cisco-sa-20170208-anyconnect / CSCvc43976 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter tools.cisco.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2017-3813 vorgenommen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 02/09/2017). Das Advisory weist darauf hin:
A vulnerability in the Start Before Logon (SBL) module of Cisco AnyConnect Secure Mobility Client Software for Windows could allow an unauthenticated, local attacker to open Internet Explorer with the privileges of the SYSTEM user. The vulnerability is due to insufficient implementation of the access controls. An attacker could exploit this vulnerability by opening the Internet Explorer browser. An exploit could allow the attacker to use Internet Explorer with the privileges of the SYSTEM user. This may allow the attacker to execute privileged commands on the targeted system.
Ein Upgrade auf die Version 4.3.05017 oder 4.4.00243 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat folglich unmittelbar reagiert.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037796) dokumentiert.
CVSSv3
Base Score: 7.8Temp Score: 7.5
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:X/RL:O/RC:C
Zuverlässigkeit: High
CVSSv2
Base Score: 6.6 (CVSS2#AV:L/AC:M/Au:S/C:C/I:C/A:C)Temp Score: 5.7 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: AnyConnect Secure Mobility Client 4.3.05017/4.4.00243
Timeline
08.02.2017 Advisory veröffentlicht08.02.2017 Gegenmassnahme veröffentlicht
08.02.2017 SecurityTracker Eintrag erstellt
09.02.2017 VulDB Eintrag erstellt
09.02.2017 VulDB letzte Aktualisierung
Quellen
Advisory: cisco-sa-20170208-anyconnect / CSCvc43976Status: Bestätigt
CVE: CVE-2017-3813 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1037796 - Cisco AnyConnect Secure Mobility Client Access Control Flaw in 'Start Before Logon' Lets Local Users Obtain System Privileges
Eintrag
Erstellt: 09.02.2017Eintrag: 74.8% komplett
...