McAfee已经修补了其代理组件中的两个高危漏洞,其中一个漏洞可能允许攻击者以SYSTEM权限执行任意代码。McAfee现已修补其McAfee产品组件中的两个高危漏洞,攻击者可以利用这些漏洞提升权限,甚至是SYSTEM权限。根据McAfee的公告,这些漏洞存在于McAfeeAgent5.7.5之前的版本中。McAfeeAgent主要用于McAfeeEndpointSecurity和其他McAfee产品。Agent是McAfeeePolicyOrchestrator(McAfeeePO)的一部分,主要用于下载和执行策略,以及执行部署和更新等客户端任务。McAfeeAgent还是一个重要的组件,用于上传事件和提供有关系统状态的数据。代理将定期收集事件信息并将其发送到McAfeeePO服务器。它还负责安装和更新终端产品。它必须安装在任何需要管理的网络系统上。OpenSSL组件漏洞将导致用户提权Agent中存在一个漏洞,编号为CVE-2022-0166,CVSS基本临界等级为7.8。此漏洞由卡内基梅隆大学CERT协调中心(CERT/由CC的WillDormann发现)赞助。周四,CERT/CC宣布在Agent的OpenSSL组件中发现了该漏洞,该组件将OPENSSLDIR变量定义为Windows上非特权用户可能控制的子目录。根据公告,McAfeeAgent包含一项使用OpenSSL组件的特权服务。用户可以将特制的openssl.cnf文件放在适当的路径中,该工具将能够以SYSTEM权限执行任意代码。安全专家口中的openssl.cnf其实是OpenSSL的一个配置文件。该文件可以为证书文件位置等项目提供SSL默认值,并保存安装时输入的各种网站信息。执行任意shell代码McAfee在其通报中表示,Agent中的第二个漏洞被跟踪为CVE-2021-31854,CVSS严重等级为7.7,本地用户可以利用该漏洞将任意shell代码注入文件代码。据该公司称,攻击者可以利用此安全漏洞获得反向shell,从而获得root权限。该漏洞的发现者RussellWells分析认为这是McAfeeAgentforWindows5.7.5之前的命令注入漏洞。McAfee说,它允许本地用户在文件cleanup.exe中注入任意shell代码。根据McAfee的说法,恶意的clean.exe文件将被释放到相关文件夹中,并通过运行在系统树中的McAfeeAgent部署功能执行。攻击者可利用该漏洞获取反向shell,从而使攻击者提升权限进行攻击。Wells告诉该出版物,利用该漏洞需要访问底层Windows主机McAfeeePO主机,而不是应用程序本身。攻击者获得权限后,可以任意利用提权漏洞,威胁行为者可以对正常锁定保护的数据进行攻击。攻击者可以利用这些特权窃取机密数据、运行管理命令、从文件系统读取文件、部署恶意软件,甚至在攻击期间逃避安全软件的检测。这不是McAfee代理中第一次出现特权升级漏洞。几个月前的9月,这家安全公司修补了Tenable安全研究员ClémentNotin发现的一个此类漏洞(CVE-2020-7315)。该漏洞允许在McAfeeAgent中进行DLL注入攻击,可能允许本地管理员在不知道McAfee密码的情况下禁用或篡改防病毒软件。本文翻译自:https://threatpost.com/mcafee-bug-windows-system-privileges/177857/如有转载请注明出处。
