CVE-2020-36168

**Nome do software vulnerável e versões afetadas:

Veritas Resiliency Platform, versões 3.4 a 3.5

Descrição:

Uma falha na Veritas Resiliency Platform, que utiliza o OpenSSL em sistemas Windows com o complemento Managed Host, permite a execução de código arbitrário com privilégios de SYSTEM no momento da inicialização do serviço. Isso ocorre porque a biblioteca OpenSSL tenta carregar o arquivo de configuração openssl.cnf, que não existe por padrão. Um usuário com privilégios limitados pode criar um arquivo de configuração openssl.cnf malicioso para carregar um mecanismo OpenSSL malicioso. Isso concede ao invasor acesso de administrador no sistema, permitindo o acesso a todos os dados e aplicativos instalados.

Recomendações:

Para as versões 3.4 e 3.5 da Veritas Resiliency Platform, considere restringir o acesso ao diretório C:usrlocalssl para impedir que usuários com privilégios limitados criem um arquivo de configuração openssl.cnf malicioso até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.