SEC Consult 漏洞实验室的 Michael Baer 最近发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞允许本地低权限攻击者在没有用户账户控制 (UAC) 提示的情况下获得受影响计算机的 SYSTEM 级访问权限，从而对软件用户构成严重的安全风险。漏洞存在于 GlobalProtect 的 MSI 安装程序中，攻击者可以通过触发安装修复过程，利用 MSI 文件中的配置错误，以 SYSTEM 权限执行一个名为 PanVCrediChecker.exe 的子进程，并与程序文件目录下的 libeay32.dll 文件交互。攻击者可以通过锁定 libeay32.dll 文件，在特定时间点释放和保持锁，确保 conhost.exe 窗口保持打开，从而提升权限，最终获得 SYSTEM 级命令提示符，完全控制机器。该漏洞影响 GlobalProtect 的多个版本，包括 5.1.5、5.2.10 和 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到影响。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。

🤔 **漏洞利用流程:** 攻击者通过触发 GlobalProtect 的 MSI 安装程序的修复过程，利用 MSI 文件中的配置错误，以 SYSTEM 权限执行 PanVCrediChecker.exe 子进程，并与 libeay32.dll 文件交互。

🔐 **关键点：** 攻击者通过锁定 libeay32.dll 文件，在特定时间点释放和保持锁，确保 conhost.exe 窗口保持打开，从而提升权限，最终获得 SYSTEM 级命令提示符。

⚠️ **影响范围：** 该漏洞影响 GlobalProtect 的多个版本，包括 5.1.5、5.2.10 和 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到影响。

🛡️ **解决方案：** 强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。

💻 **攻击者利用方法：** 攻击者可以在机器上找到 MSI 安装程序文件，即使该文件已从其原始位置删除，并触发修复过程。通过谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。

👀 **漏洞原理：** 漏洞存在于 GlobalProtect 的 MSI 安装程序中，攻击者可以通过触发安装修复过程，利用 MSI 文件中的配置错误，以 SYSTEM 权限执行一个名为 PanVCrediChecker.exe 的子进程，并与程序文件目录下的 libeay32.dll 文件交互。

🆘 **风险等级：** 该漏洞等级为严重，一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。

🛡️ **防护建议：** 运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。

⚠️ **影响范围：** 该漏洞影响 GlobalProtect 的多个版本，包括 5.1.5、5.2.10 和 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到影响。

💡 **漏洞发现：** 该漏洞由 SEC Consult 漏洞实验室的 Michael Baer 发现。

🛡️ **补丁修复：** Palo Alto Networks 已发布补丁修复该漏洞，建议用户及时更新到最新版本。

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中，发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果，问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制（UAC）提示的情况下启动安装程序，从而触发安装修复。在修复过程中，一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行，并与程序文件目录下的 libeay32.dll 文件交互。Baer 解释说，这个过程打开了一个重大漏洞： “在使用 msiexec.exe 的修复功能时，发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口”。这样，攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统，从而完全控制机器。开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件（即使该文件已从其原始位置删除）并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。通过在特定时间点小心地释放和保持锁，攻击者可以确保 conhost.exe 窗口保持打开，从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭，因此可以与之交互，”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。分析显示，GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过，5.2.x 版本已达到使用寿命，将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。