McAfee исправила уязвимость системы безопасности, обнаруженную в программном обеспечении McAfee Agent для Windows, что позволяет злоумышленникам повышать привилегии и выполнять произвольный код с системными привилегиями.
McAfee Agent — это клиентский компонент McAfee ePolicy Orchestrator (McAfee ePO), который загружает и применяет политики конечных точек, а также развертывает антивирусные сигнатуры, обновления, исправления и новые продукты на конечных точках предприятия.
Компания исправила серьезную уязвимость локального повышения привилегий (LPE), отслеживаемую как CVE-2022-0166 и обнаруженную аналитиком уязвимостей CERT/CC Уиллом Дорманном, который выпустил обновления безопасности с выпуском McAfee Agent 5.7.5 18 января.
Все версии агента McAfee Agent до 5.7.5 уязвимы и позволяют непривилегированным злоумышленникам запускать код с использованием привилегий учетной записи NT AUTHORITY\SYSTEM, самого высокого уровня привилегий в системе Windows, используемых ОС и службами ОС.
«Агент McAfee Agent, поставляемый с различными продуктами McAfee, такими как McAfee Endpoint Security, включает компонент OpenSSL, который указывает переменную OPENSSLDIR в качестве подкаталога, которым может управлять непривилегированный пользователь Windows, — пояснил Дорманн.
«Агент McAfee Agent содержит привилегированную службу, которая использует этот компонент OpenSSL. Пользователь, который может поместить специально созданный файл openssl.cnf по соответствующему пути, может выполнить произвольный код с системными привилегиями».
Возможность использования для уклонения, загрузки вредоносных полезных нагрузок
После успешной эксплуатации злоумышленники могут постоянно запускать вредоносные полезные нагрузки и потенциально избегать обнаружения во время атак.
Хотя злоумышленники могут использовать этот тип бреши только локально, злоумышленники обычно используют этот тип бреши в безопасности на более поздних этапах своих атак, после проникновения на целевую машину для повышения разрешений для обеспечения устойчивости и дальнейшей компрометации системы.
Это не первый случай, когда исследователи безопасности обнаруживают уязвимости при анализе продуктов McAfee для обеспечения безопасности Windows.
Например, в сентябре 2021 года компания исправила еще одну ошибку повышения привилегий McAfee Agent (CVE-2020-7315), обнаруженную исследователем безопасности Tenable Клеманом Нотином, которая позволяла локальным пользователям выполнять произвольный код и уничтожать антивирус.
Двумя годами ранее McAfee исправила уязвимость в системе безопасности, затрагивающую все выпуски ее антивирусного программного обеспечения для Windows (т. е. Total Protection, Anti-Virus Plus и Internet Security) и позволяющую потенциальным злоумышленникам повышать привилегии и выполнять код с правами учетной записи SYSTEM.
