Check Point Endpoint Security Client提权漏洞安全通告

发布时间 2019-08-30

?漏洞编号和级别


CVE编号:CVE-2019-8461,危险级别:高危,CVSS分值:官方未评定


?影响版本


Check Point Endpoint Security Initial Client for Windows - Below Version E81.30


?漏洞概述


Check Point Endpoint Security Client是以色列Check Point企业的一款终端安全防护App,它是一款带有多个模块的App,包括数据和网络安全,高级威胁防御和取证,以及远程访问VPNApp解决方案,其中部分内容作为Windows服务实行,具有顶级NT AUTHORITY \SYSTEM权限。


基于Windows平台的Check Point Endpoint Security Client存在提权漏洞,允许潜在的攻击者升级权限并使用SYSTEM权限实行代码。攻击者可以使用系统级权限运行恶意负载,并通过绕过应用程序白名单来逃避反恶意App检测。


安全研究员发现 “可通过将任意未签名的DLL加载到Check Point Endpoint SecurityApp使用的Windows服务之一来实现权限提升和持久性”。该漏洞是由于使用不受控制的搜索路径导致的安全DLL加载不足以及未验证其加载的DLL是否使用数字证书作为Hadar详细信息进行签名而引起的。


?漏洞验证


POC:https://safebreach.com/Post/Check-Point-Endpoint-Security-Initial-Client-for-Windows-Privilege-Escalation-to-SYSTEM。


?修复建议


Check Point发布版本更新修复了此漏洞:https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk160812#Endpoint%20Security%20Server%20Downloads。


?参考链接


https://www.bleepingcomputer.com/news/security/check-point-patches-privilege-escalation-flaw-in-endpoint-client/