Fortinet FortiClient的Windows系统提权登录漏洞（附PoC）

近期，Fortinet（飞塔）主机终端安全防护软件FortiClient，被曝在Windows登录界面处存在权限提升漏洞（CVE-2017-7344 ），可被攻击者利用，绕过Windows系统锁屏，或以匿名方式进入Windows系统。

FortiClient是集攻击防护、漏洞检测、病毒查杀、远程安全登录为一体的终端防护软件，其远程安全登录功能中使用了SSL/IPSec V**方式，为客户提供安全可靠的虚拟专用网络接入。

漏洞介绍

利用该漏洞，在Windows操作系统锁屏出现登录界面时，攻击者可通过其实现本地或无网络级别身份验证（NLA）的RDP环境（远程桌面连接）远程攻击。

CVE编号：CVE-2017-7344 远程利用：是 影响级别：高 造成危害：权限提升，绕过Windows系统锁屏，或以匿名方式进入Windows系统 利用方式：在勾选“登录前启用V**”（Enable V** before logon）状态时，无需默认配置信息，无需有效证书，只需一个无效证书，或攻击者在客户端提供的被盗笔记本电脑中的无效证书即可。 影响版本：FortiClient Windows 5.6.0 \ FortiClient Windows 5.4.3和之前版本 利用描述：默认情况下，在登录进入系统之前，FortiClient允许用户在登录界面处连接到某个V**网络。本地或远程攻击者可以利用该漏洞绕过系统锁屏，无需合法账户信息进入系统，并获取Windows系统权限。

漏洞利用

漏洞环境

以下为Windows 7专业版本 64位英文操作系统，系统中装有存在漏洞的FortiClient 5.4.2.0860版本软件，如下所示：

用FortiGate防火墙在FortiClient中创建V**连接，或尝试连接任何具有无效证书的域，如expired.badssl.com：

勾选FortiClient中“系统登录前启用V**”（Enable V** before logon）功能：

退出系统登录状态，此时该系统环境为即为一个存在漏洞的测试环境。

测试步骤

在系统登录界面，选择V**配置文件并输入任意密码，证书会显示无效，当连接对话框跳出来之后，点击“View Certificate（查看证书）”：

然后来到“Details”（详细信息）栏下，选择”Copy to file“（复制到文件）：

接下来，会出现导出文件的”Browse“（浏览）窗口：

点击”Browse“（浏览）按钮，选择至”C:\Windows\System32“，在其中找到cmd.exe，右键”Run as administrator”以管理员身份运行，就这样我们有了一个屌炸天的系统shell了！用它来添加一个用户名密码为pwn/pwn的系统账户：

用该账户可实现成功的系统登录：

漏洞参考

Fortinet PSIRT Advisory: FG-IR-17-070 CERT-FR: CERTFR-2017-AVI-471 SecurityFocus: BID 102176 Mitre: CVE-2017-7344