CVE-2024-6973 Windows SDP客户端:通过精心构造的URL进行远程代码执行

描述

在catoias:// URL方案中,由Windows SDP客户端解析的,external_browser参数缺乏充分的验证,该参数由客户端控制。 这会被传递到.NET Process.Start()函数,导致端点上的远程代码执行。

为了利用此漏洞,威胁行为者必须重定向到一个精心构造的URL。 然后,客户端或受害者需要批准浏览器的警告消息以使漏洞生效,这需要社会工程学:

2024-06-25_15-28-51.jpg

此问题适用于版本低于5.10.34。

严重性

CVSSv3.1分数是7.5(高)。

我需要做哪些更改?

使用 SDP用户仪表板 识别Windows客户端版本低于5.10.34的用户。 确保他们升级到最新的Windows客户端版本,并接收最新的安全补丁和增强功能。

致谢

Cato Networks感谢AmberWolf检测和识别此问题。 完整的技术详细信息可以在他们的博客文章中找到:

https://blog.amberwolf.com/blog/2024/july/cve-2024-6973-cato-client-remote-code-execution-via-crafted-urls/

 

对账户有何影响?

如果不升级到Windows客户端v5.10.34或更高版本,版本较低的设备将容易受到攻击。 据我们所知,这些问题尚未在野外被利用。

如果我有问题,我应该与谁联系?

请联系支持

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论