CVE-2020-36160

**Nome do software vulnerável e versões afetadas:

Versões do Veritas System Recovery anteriores à 21.2

Descrição:

Uma falha no Veritas System Recovery permite que um usuário com privilégios limitados crie um arquivo de configuração malicioso openssl.cnf no diretório C:usrlocalssl. Esse arquivo pode carregar um mecanismo OpenSSL malicioso, resultando na execução de código arbitrário como SYSTEM quando o serviço é iniciado. Isso concede ao invasor acesso de administrador no sistema, permitindo que ele acesse todos os dados e aplicativos instalados. Se o sistema também for um controlador de domínio do Active Directory, isso pode afetar todo o domínio.

Recomendações:

Para versões anteriores à 21.2, atualize para a versão 21.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao diretório C:usrlocalssl para impedir que usuários com privilégios limitados criem o arquivo de configuração malicioso.