Uma vulnerabilidade crítica de escalonamento de privilégios foi identificada no cliente WatchGuard Mobile VPN with IPSec para Windows. A falha, registrada como WGSA-2026-00002, permite que um atacante local execute comandos arbitrários com os máximos privilégios do sistema, o que pode resultar no controle total da máquina hospedeira.
Vulnerabilidade no processo de instalação
O problema reside no software de tecnologia subjacente da NCP Engineering, utilizado pela WatchGuard. Durante ciclos de manutenção do software — como instalação, atualização ou remoção — o instalador MSI abre janelas de linha de comando (cmd.exe) para executar tarefas em segundo plano. Esses processos são executados com os direitos da conta SYSTEM, o nível de privilégio mais alto no Windows.
Em versões mais antigas do sistema operacional, essas janelas de comando permanecem interativas e não bloqueadas. Um atacante com acesso físico ou um insider malicioso pode interromper o processo, interagir com o prompt de comando aberto e executar seus próprios comandos, que herdarão automaticamente os privilégios de SYSTEM.
Impacto classificado como severo
Apesar de a pontuação CVSS base ser 6.3 (Média), as métricas de impacto subsequentes são classificadas como Altas. Isso reflete que uma exploração bem-sucedida compromete totalmente a confidencialidade, integridade e disponibilidade do sistema afetado, representando uma severa violação de segurança.
Atualização imediata é a única solução
A vulnerabilidade afeta todas as versões do WatchGuard Mobile VPN with IPSec client para Windows até a 15.19. Não existem workarounds disponíveis para mitigar a falha sem atualizar o software. A WatchGuard e a NCP lançaram uma correção na versão mais recente.
Os administradores devem priorizar a atualização imediata de todos os endpoints afetados para a versão 15.33 ou superior. Esta atualização modifica o comportamento do instalador para impedir a exposição de janelas de comando interativas com privilégios elevados.






