McAfee近日修复了该公司的McAfee Agent for Windows软件中发现的一个安全漏洞,使攻击者能够提升权限并使用SYSTEM权限执行任意代码。

McAfee代理Agent是McAfee ePolicy Orchestrator(McAfee ePO)的客户端组件,可下载和实施端点策略,并在企业端点上部署防病毒签名、升级、补丁和新产品。

漏洞等级:高危;CVSS分:7.8

该公司已经修补了被跟踪为CVE-2022-0166的高严重性本地权限提升 (LPE) 漏洞,该漏洞由CERT/CC漏洞分析师Will Dormann发现,并于1月18日发布了McAfee Agent 5.7.5的安全更新。

McAfee Agent 5.7.5之前的所有McAfee Agent版本都容易受到攻击,并允许非特权攻击者使用NT AUTHORITY\SYSTEM账户权限运行代码,这是Windows系统上的最高权限级别,由操作系统和操作系统服务使用。

“McAfee Agent随McAfee Endpoint Security等各种McAfee产品一起提供,包括一个OpenSSL组件,该组件将OPENSSLDIR变量指定为一个子目录,我可以在Windows上由非特权用户控制,”Dormann解释说。“McAfee Agent包含使用此OpenSSL组件的特权服务。可以将特别制作的openssl.cnf文件放置在适当路径的用户可能能够以SYSTEM权限执行任意代码。”

如你司全面使用McAfee产品,必须尽快升级,否则被用心之人利用,远程攻击起来恐出现大问题。

可用于规避、加载恶意负载

成功利用后,威胁行为者可以持续执行恶意有效负载,并可能在攻击期间规避检测。虽然只能在本地利用,但威胁参与者通常会在攻击的后期利用这种类型的安全漏洞,在渗透到目标机器以提升权限以获得持久性并进一步损害系统之后。

这不是安全研究人员在分析McAfee的Windows安全产品时第一次发现漏洞。

例如,2021年9月,McAfee修补了Tenable安全研究员Clément Notin发现的另一个McAfee Agent权限提升漏洞(CVE-2020-7315),该漏洞允许本地用户执行任意代码并结束防病毒软件。

两年前,McAfee修复了影响其所有版本的Windows防病毒软件(即Total Protection、Anti-Virus Plus和Internet Security)的安全漏洞,并允许潜在的攻击者提升权限并使用SYSTEM账户权限执行代码。