产品信息

• 版本: Avira Phantom VPN 2.15.2.28160
• 下载源: 官方安装包链接
• 测试系统: Windows 10 1803 (x64)

漏洞概述

Avira VPN服务在修改VPN配置时，会调整C:\ProgramData\Avira\VPN\目录下VpnSharedSettings.backup和VpnSharedSettings.config文件的DACL（自主访问控制列表）。通过创建硬链接指向目标文件（如phantomvpn.exe），攻击者可利用此漏洞覆盖目标文件的DACL，最终实现从低权限用户到SYSTEM的权限提升。

漏洞原理

1. 触发条件: 通过VPN GUI修改配置（如取消勾选“发送诊断数据”）时，服务端调用Avira.VPN.Core.dll中的AdjustSecurity()函数。
2. 权限修改: 对于共享配置文件（StorageType为AllUserAccess），服务会将文件DACL设置为允许所有认证用户完全控制。
3. 利用链:
   • 攻击者创建硬链接，将VpnSharedSettings.backup指向目标文件（如phantomvpn.exe）。
   • 触发配置更改后，目标文件的DACL被覆盖为低权限用户可写。
   • 替换目标文件为恶意二进制，并通过VPN连接触发执行，获得SYSTEM权限。

复现步骤

1. 创建硬链接指向phantomvpn.exe:

   1	mklink /H C:\ProgramData\Avira\VPN\VpnSharedSettings.backup "C:\Program Files (x86)\Avira\VPN\OpenVPN\phantomvpn.exe"

2. 在VPN设置中取消勾选“发送诊断数据”，触发DACL修改。
3. 替换phantomvpn.exe为恶意程序，点击“Secure my Connection”执行。

时间线

• 2018年9月28日: 向Avira报告
• 2018年10月4日: Avira确认复现
• 2018年12月13日: 漏洞修复

关联漏洞

• Avira VPN通过不安全更新路径的本地提权（2020年1月）
• Avira Optimizer本地提权漏洞（2019年8月）