據區塊鏈安全咨詢公司 曲速未來 消息：有安全研究人員發現，一個阻止NordVPN和ProtonVPN客戶端在Windows機器上運行具有管理員權限的任意代碼的補丁實現了對漏洞的不充分控制。

這些漏洞類似于VerSprite在2018年4月發現的一個錯誤：CVE-2018-10169。同月，兩位客戶都發布了類似補丁來解決這個問題。但是就算確定了繞過該補丁的方法。盡管也有修復，仍然可以作為系統管理員執行代碼。

兩個客戶端都使用OpenVPN開源軟件從一個點到另一個點建立安全隧道。該服務需要以管理員權限運行，因此它運行的任何代碼都享有這些權限。

NordVPN和ProtonVPN都通過檢查是否存在兩個危險參數以及“up”和“down”來解決這個問題，這些參數都是通過OpenVPN執行代碼或命令的方法。

通過查看配置文件解析器的OpenVPN源代碼，Rascagnares注意到這些控件不足，并且可以通過將參數放在引號之間來實現相同的效果。

VPN客戶端的設計

要了解這些漏洞，我們首先需要了解本文中提到的VPN客戶端的設計。兩個客戶都有相同的設計

1.用戶界面。此二講制文件在登錄用戶的許可下執行。此應用程序的目的是允許用戶選擇VPN配置，例如協議，VPN服務器的位置等。當用戶點擊"連接時，信息被發送到服務（事實上，它是，一個OpenVPN配置文件）。

2.服務。此二進制文件用于從用戶界面接收訂單。例如，它從用戶接收VPN配置文件。二進制文件的目標是使用用戶配置文件（具有管理員權限）執行OpenVPN客戶端二進制文件。

最初的漏洞

VerSprite發現的第一個漏洞是CVE-2018-10169。作者提到他可以使用以下內容創建OpenVPN配置文件：

此配置文件將發送到服務，并將此配置用于OpenVPN。結果是OpenVPN_POC.dll將由OpenVPN以管理員權限加載和執行。

第一個補丁和限制

ProtonVPN和NordVPN做了同樣的補丁。他們實現了對用戶發送的OpenVPN配置內容的控制：

此代碼檢查用戶發送的配置文件是否包含以plugin，script-security，up或down開頭的行。這些是通過OpenVPN執行代碼或命令的所有方法。

這是檢查的代碼：

開發人員添加了額外的測試以避免在關鍵字之前制表或空格。

但是，通過在這里閱讀配置文件解析器的OpenVPN源代碼，我們可以在parse_line（）函數中讀取關鍵字可以在引號之間。因此，我們可以在配置文件中添加以下文本：

它對OpenVPN有效，并通過VPN服務的檢查。

這兩個安全漏洞目前被跟蹤為ProtonVPN的CVE-2018-3952和NordVPN的CVE-2018-4010，嚴重等級為8.8，最高為10。

新補丁

區塊鏈安全咨詢公司 曲速未來 提醒：編輯開發的新補丁是不同的。對于ProtonVPN，他們將OpenVPN配置文件放在安裝目錄中，標準用戶無法對其進行修改。因此，我們無法在其中添加惡意字符串。對于NordVPN，編輯決定使用XML模型生成OpenVPN配置文件。標準用戶無法編輯模板。

受權限升級錯誤影響的客戶端版本是ProtonVPN 1.5.1和NordVPN 6.14.28.0。NordVPN用戶會自動更新到應用程序的最新版本，而使用PrototonVPN的用戶需要手動啟動該過程。

本文內容由 曲速未來安全咨詢公司編譯，轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。