Management Summary
Das Ivanti Endpoint Manager Security Scan (Vulscan) Selbst-Update war anfällig für einen DLL-Hijacking Angriff. Der Update Service erstellte einen Scheduled Task as SYSTEM Benutzer und versuchte nicht-existierende ZIP-Dateien von ProgramData zu laden. Eine bösartige DLL konnte in eine ZIP-Datei eingefügt werden, die wiederum entzippt und vom Program Files (x86) geladen wurde. Dies ermöglichte einem Angriefer mit niedrigen Privilegien eine Privilege Escalation zum SYSTEM Nutzer und zusätzlich Persistence über den Scheduled Task.
Zum vollständigen Security Advisory (Englisch).
EOF Paul Serban / @2025
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.