安全公告编号:CNTA-2016-0034

近日，国家信息安全漏洞共享平台（CNVD）收录了由CNVD成员单位腾讯公司(玄武实验室)提交的Pulse Secure Desktop Client (Juniper Junos Pulse)权限提升漏洞（CNVD-2016-05257 ，对应CVE-2016-2408）。Pulse Secure Desktop Client 安装的系统服务在访问控制设置上存在漏洞。通过模拟可信的进程与该服务通讯，攻击者可提升权限并执行任意代码。

一、 漏洞情况分析

Pulse Secure Desktop Client（原用名为Juniper Junos Pulse）是访问 Juniper Pulse Secure 网关的终端设备的客户端程序软件，Pulse Secure Desktop Client安装的系统服务dsAccessService.exe会创建一个名为NeoterisSetupService的命名管道。该命名管道的访问控制列表被设置为Everyone完全控制，所有用户均具有读写权限。管道服务端使用了自定义的加密算法，该管道用于安装新的系统服务时，可以作为自动升级机制的一部分。

当有新数据写入管道时，这段数据会被当作文件路径解密，指向的文件会被复制到C:\Windows\Temp\并执行。服务安装逻辑在dsInstallService.dll中实现，它首先读入路径并从路径中切出文件名。这个实现逻辑存在一个漏洞：只切出了路径中 “\” 字符之后的部分，但忽略了 “/” 字符。攻击者可以传入一个恶意构造的路径，再通过DLL劫持的方式即可实现权限提升和任意代码执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响Pulse Secure Desktop Client (Juniper Junos Pulse) v5.2r3之前的所有版本。目前已知该软件产品在境内高校中应用较为广泛，根据初步获得的应用案例，CNVD已经将受影响的十余所重点高校用户通报给教育网应急组织（中国教育和科研计算机网以及上海交通大学网络信息中心）进行处置。同时，CNVD建议境政府部门和重要信息系统行业单位、高校用户开展自查，及时修复安全漏洞。

三、漏洞修复建议

Pulse Secure 已在 Pulse Secure Desktop Client v5.2r3 中修复了此漏洞，请在Pulse Secure 官网下载最新版本。

附：参考链接：

http://xlab.tencent.com/en/advisories/2016/07/19/xlab-16-001/

http://www.cnvd.org.cn/flaw/show/CNVD-2016-05257

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA40241（官方补丁连接）