发布日期：2006-10-09
更新日期：2006-10-10

受影响系统：

Cisco Secure Desktop 3.1.1
Cisco Secure Desktop 3.1

描述：

---

BUGTRAQ  ID: 20410

Cisco Secure Desktop (CSD)可以通过加密降低远程用户注销或SSL VPN会话超时后cookies、浏览器历史记录、临时文件和下载内容在系统上所遗留的风险。

CSD的实现上存在如下一些问题，可能导致在SSL VPN会话相关的敏感信息泄露。
  
1. Windows页面文件信息泄露

由于Windows虚拟内存子系统运行的方式，任何应用程序所使用的虚拟物理内存，包括在Secure Desktop进程空间的，都可能写入页面文件中。Windows页面文件未经加密便存储了所分页出来的物理内存内容，因此可以使用数据取证工具恢复操作系统所分页出的信息。由于这个机制，CSD可能无法在VPN会话终止后删除SSL VPN会话中所生成和访问的所有数据。
  
这不是CSD产品的漏洞，而是由于Microsoft Windows操作系统与应用程序交互方式所导致的CSD产品局限性。
  
2. 通过Windows打印机后台文件恢复文档

如果已经打印了文件的话，就可以通过打印机后台文件恢复。后台文件通常存储在C:\WINDOWS\system32\spool\PRINTERS\目录下，扩展名为.SPL。这些文件的生命周期很短，因为成功的发送给打印机之后就要被删除。但是，如果出现了打印问题或对硬盘应用了数据取证的话，就可能恢复文件。

3. 无法检测硬件击键动作记录器

操作系统无法检测没有标记出自身或恶意误导为其他类别设备的硬件，导致无法检测可能在CSD所运行系统上安装的硬件键盘记录器。

<*来源：ManTech International Corporation （http://www.mantech.com/）
        Rick Patterson
  
  链接：http://www.cisco.com/warp/public/707/cisco-sa-20061009-csd.shtml
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

* 配置Windows在关机时清除页面文件。将以下注册表中的ClearPageFileAtShutdown值更改为1：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

如果不存在该项的话，请创建以下的值：

Value Name: ClearPageFileAtShutdown
Value Type: REG_DWORD
Value: 1

* 配置CSD禁止用户从Secure Desktop打印。有关如何执行这个操作请参考Cisco Secure Desktop配置指南：
  http://www.cisco.com/en/US/products/ps6742/products_configuration_guide_chapter09186a00805f9f42.html#wp1041681

建议：

---

厂商补丁：

Cisco
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/warp/public/707/advisory.html

浏览次数：2774
严重程度：0（网友投票）