Microsoft ha scoperto quattro vulnerabilità in OpenVPN che, se sfruttate in sequenza, potrebbero consentire l'esecuzione di codice remoto e l'escalation dei privilegi locali. La rivelazione è avvenuta durante la conferenza Black Hat USA 2024.
OpenVPN è un software open source ampiamente utilizzato per creare connessioni VPN sicure. Le falle di sicurezza, di gravità media, impattano tutte le versioni di OpenVPN precedenti alla 2.6.10 e 2.5.10.
Lo sfruttamento di queste vulnerabilità potrebbe permettere agli attaccanti di ottenere il pieno controllo dei sistemi target, con potenziali conseguenze come violazioni di dati e accessi non autorizzati a informazioni sensibili. Tuttavia, per sfruttare le falle è necessaria l'autenticazione dell'utente e una profonda conoscenza del funzionamento interno di OpenVPN.
Le vulnerabilità scoperte
Le quattro vulnerabilità identificate sono:
- CVE-2024-27459: impatta il componente openvpnserv su Windows, consentendo denial of service e escalation di privilegi locali
- CVE-2024-24974: riguarda openvpnserv su Windows, permettendo accessi non autorizzati
- CVE-2024-27903: colpisce openvpnserv su Windows, consentendo l'esecuzione di codice remoto
- CVE-2024-1305: impatta il driver TAP di Windows, causando denial of service
Per sfruttare queste falle, un malintenzionato dovrebbe prima ottenere le credenziali di un utente, ad esempio acquistandole sul dark web o utilizzando malware info-stealer. Successivamente potrebbe concatenare gli exploit per creare un potente vettore di attacco.
Microsoft ha spiegato che attraverso queste tecniche un attaccante potrebbe "disabilitare la Protect Process Light per processi critici come Microsoft Defender o interferire con altre funzioni di sistema fondamentali". Ciò consentirebbe di aggirare i prodotti di sicurezza e manipolare le funzionalità core del sistema, rafforzando il controllo dell'attaccante ed evitando il rilevamento.
Gli utenti di OpenVPN sono invitati ad aggiornare il software alle versioni più recenti per mitigare queste vulnerabilità. La scoperta evidenzia l'importanza di mantenere aggiornati i software di sicurezza e monitorare costantemente le nuove minacce informatiche.