AnyConnect Secure

Die Schwachstelle steckt im Kanal zur prozessübergreifenden Kommunikation (IPC) des Cisco AnyConnect Secure Mobility Client für Windows. Sie entsteht dadurch, dass die Anwendung Ressourcen, die sie zur Laufzeit nachlädt, nur unzureichend prüft. Dadurch lässt sich ein DLL-Hijacking durchführen: Ein Angreifer schiebt der Anwendung eine manipulierte Programmbibliothek (DLL) unter, die diese dann anstelle der eigentlichen lädt. Ausgelöst wird der Angriff über eine eigens präparierte IPC-Nachricht an den AnyConnect-Prozess. Voraussetzung ist, dass der Angreifer bereits über gültige Anmeldedaten auf dem betroffenen Windows-System verfügt und lokal aktiv ist. Gelingt der Angriff, kann er eigenen Code mit SYSTEM-Rechten ausführen – also mit den höchsten Rechten unter Windows und damit der vollständigen Kontrolle über den Rechner. Im Ergebnis weitet ein bereits angemeldeter Nutzer seine Berechtigungen bis zur kompletten Systemübernahme aus.