编译:代码卫士
McAfee Enterprise(现更名为 Trellix)修复了McAfee Agent 软件 Windows 版中的一个漏洞(CVE-2022-0166),它可使攻击者提权并以系统权限执行任意代码。
McAfee Agent 是 McAfee ePolicy Orchestrator (McAfee ePO) 的一个客户端组件,用于下载并在企业端点上执行端点策略并部署反病毒签名、升级、补丁和新产品。
McAfee 公司已修复由美国 CERT/CC 漏洞分析师 Will Dormann 发现的这个高危本地提权漏洞,并在1月18日发布 McAfee Agent 5.7.5 发布安全更新。
所有早于5.7.5版本的 McAfee Agent 均受影响。该漏洞可导致低权限攻击者使用 NT AUTHORITY\\\\SYSTEM 账户权限运行代码,该权限是Windows 系统上的最高权限级别,由OS和OS服务使用。
Dormann 解释称,“McAfee Agent 用于多种 McAfee 产品中如 McAFEE Endpoint Security,如指定 OPENSSLDIR 变量作为可能由Windows 系统上低权限用户控制的子目录的OpenSSL 组件。McAfee Agent 包含一个使用该 OpenSSL 组件的权限服务。在正确路径上放置特殊构造 openssl.cnf 文件的用户或能够以系统权限实现代码执行。”
可被用于逃避检测、加载恶意payload
成功利用该漏洞后,攻击者可持久执行恶意 payload 并在攻击中躲避检测。虽然仅可在本地利用,但该漏洞一般会在后续攻击阶段遭利用,即渗透目标机器以提权,获得持久性并进一步攻陷系统。
这并非研究人员首次在分析 McAfee 的Windows 安全产品时发现漏洞。
例如,2021年9月,McAfee 修复了由 Tenable 安全研究员 Clément Notin 发现的另外一个 McAfee Agent 提权漏洞 (CVE-2020-7315),它可导致本地用户执行任意代码并打败反病毒软件。
两年前,McAfee 公司修复了影响其所有 Windows 版本 Antivirus 软件(Total Protection、Anti-Virus Plus 和Internet Security)的漏洞,它可导致攻击者提权并以系统账户权限执行代码。
原文链接
https://www.bleepingcomputer.com/news/security/mcafee-agent-bug-lets-hackers-run-code-with-windows-system-privileges/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
