Angreifer könnten VPN-Client von Forcepoint trojanisierten Code unterjubeln

Wer den VPN-Client von Forcepoint unter Windows nutzt, sollten diesen aus Sicherheitsgründen aktualisieren. Wer das nicht tut riskiert, dass beim Start des Betriebssystems unter bestimmten Umständen Schadcode mit System-Rechten geladen wird. Eine abgesicherte Version ist verfügbar.

Das von der Sicherheitslücke (CVE-2019-6145) ausgehende Risiko ist mit "mittel" eingestuft. Vor dem Hintergrund, dass Schadcode Computer komplett zu Fall bringen kann, mutet diese Einstufung als vergleichsweise niedrig an. Die Einschätzung geht auf die Voraussetzungen für eine erfolgreiche Attacke zurück: Angreifer müssten ihren trojanisierten Code in C:\ oder C:\Programme (x86) kopieren – und das klappt nur mit Admin-Rechten.

Kriegt das ein Angreifer trotzdem hin, lädt die von Forcepoint signierte Datei sgvpn.exe beim Start von Windows fälschlicherweise in den Ordnern platzierte Dateien (search path vulnerability) mit System-Rechten. In der Version 6.6.1 legt der Client diesen Verhalten nicht mehr an den Tag. Alle vorigen Ausgaben sollen bedroht sein, schreibt Forecpoint in einer Warnmeldung. (des)