McAfee客户端代理漏洞存提权执行漏洞

McAfee近日修复了该公司的McAfee Agent for Windows软件中发现的一个安全漏洞，使攻击者能够提升权限并使用SYSTEM权限执行任意代码。

McAfee代理Agent是McAfee ePolicy Orchestrator(McAfee ePO)的客户端组件，可下载和实施端点策略，并在企业端点上部署防病毒签名、升级、补丁和新产品。

漏洞等级：高危；CVSS分：7.8

该公司已经修补了被跟踪为CVE-2022-0166的高严重性本地权限提升 (LPE) 漏洞，该漏洞由CERT/CC漏洞分析师Will Dormann发现，并于1月18日发布了McAfee Agent 5.7.5的安全更新。

McAfee Agent 5.7.5之前的所有McAfee Agent版本都容易受到攻击，并允许非特权攻击者使用NT AUTHORITY\SYSTEM账户权限运行代码，这是Windows系统上的最高权限级别，由操作系统和操作系统服务使用。

“McAfee Agent随McAfee Endpoint Security等各种McAfee产品一起提供，包括一个OpenSSL组件，该组件将OPENSSLDIR变量指定为一个子目录，我可以在Windows上由非特权用户控制，”Dormann解释说。“McAfee Agent包含使用此OpenSSL组件的特权服务。可以将特别制作的openssl.cnf文件放置在适当路径的用户可能能够以SYSTEM权限执行任意代码。”

如你司全面使用McAfee产品，必须尽快升级，否则被用心之人利用，远程攻击起来恐出现大问题。

可用于规避、加载恶意负载

成功利用后，威胁行为者可以持续执行恶意有效负载，并可能在攻击期间规避检测。虽然只能在本地利用，但威胁参与者通常会在攻击的后期利用这种类型的安全漏洞，在渗透到目标机器以提升权限以获得持久性并进一步损害系统之后。

这不是安全研究人员在分析McAfee的Windows安全产品时第一次发现漏洞。

例如，2021年9月，McAfee修补了Tenable安全研究员Clément Notin发现的另一个McAfee Agent权限提升漏洞(CVE-2020-7315)，该漏洞允许本地用户执行任意代码并结束防病毒软件。

两年前，McAfee修复了影响其所有版本的Windows防病毒软件(即Total Protection、Anti-Virus Plus和Internet Security)的安全漏洞，并允许潜在的攻击者提升权限并使用SYSTEM账户权限执行代码。