Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el agente SecureConnector (CVE-2016-9485)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-264 Permisos, privilegios y/o control de acceso
Fecha de publicación:
13/07/2018
Última modificación:
09/10/2019

Descripción

En los endpoints de Windows, el agente SecureConnector debe ejecutarse bajo la cuenta SYSTEM local u otra cuenta de administrador para habilitar la funcionalidad total del agente. La configuración típica es para que el agente se ejecute como servicio de Windows bajo la cuenta SYSTEM local. El agente SecureConnector ejecuta varios scripts de plugin y ejecutables en el endpoint para recopilar y reportar información sobre el host en la aplicación de gestión de CounterACT. El agente SecureConnector descarga estos scripts y ejecutables cuando los necesita de la aplicación de gestión de CounterACT y los ejecuta en el endpoint. El agente SecureConnector no establece permisos en los objetos de archivo descargados. Esto permite que un usuario malicioso asuma la propiedad de cualquiera de estos archivos y los modifique, independientemente de dónde se guardan los archivos. Estos archivos se ejecutan después bajo privilegios SYSTEM. Un usuario malicioso no privilegiado puede sobrescribir estos archivos ejecutables con código malicioso antes de que los ejecute el agente SecureConnector, lo que provoca que el código malicioso se ejecute bajo la cuenta SYSTEM.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:forescout:secureconnector:-:*:*:*:*:windows:*:*