Inicio / Alerta Temprana / Vulnerabilidades / CVE-2019-12572

Vulnerabilidad en el Cliente VPN de Media Private Internet Access (PIA) de London Trust para Windows (CVE-2019-12572)

Tipo: 
Permisos, privilegios y/o control de acceso
Gravedad: 
Alta
Fecha publicación : 
21/06/2019
Última modificación: 
27/06/2019
Descripción
Una vulnerabilidad en el Cliente VPN versión 1.0.2 (build 02363) de Media Private Internet Access (PIA) de London Trust para Windows, podría permitir a un atacante local autenticado ejecutar código arbitrario con privilegios elevados. En el inicio, el servicio Windows PIA (pia-service.exe) carga la biblioteca OpenSSL desde %PROGRAMFILES%\Private Internet Access\libeay32.dll. Esta biblioteca intenta cargar el archivo de configuración C:\etc\ssl\openssl.cnf que no existe. Por defecto, en los sistemas Windows, los usuarios autenticados pueden crear directorios en C:\. Un usuario poco privilegiado puede crear un archivo de configuración C:\etc\ssl\openssl.cnf para cargar una biblioteca del motor OpenSSL maliciosa, que resulta en la ejecución de código arbitrario como SYSTEM cuando el servicio se inicia.
Impacto
Vector de acceso: Local
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
  • cpe:2.3:a:londontrustmedia:private_internet_access:1.0.2:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos