Разработчики McAfee Enterprise (ныне переименованной в Trellix) исправили уязвимость в McAfee Agent для Windows, которая позволяла злоумышленникам повышать привилегии и выполнять произвольный код с системными привилегиями.
McAfee Agent — это клиентский компонент McAfee ePolicy Orchestrator (McAfee ePO), который загружает и применяет политики для конечных точек, а также отвечает за развертывание антивирусных сигнатур, обновлений, исправлений и новых продуктов.
Свежая уязвимость локального повышения привилегий (LPE), получившая идентификатор CVE-2022-0166, была обнаружена экспертом CERT/CC Уиллом Дорманном. Проблему устранили с релизом McAfee Agent версии 5.7.5.
Все версии агента McAfee Agent до 5.7.5 уязвимы и позволяют непривилегированным атакующим запускать код с правами учетной записи NT AUTHORITY\SYSTEM, то есть самого высокого уровня в Windows.
«Агент McAfee Agent, поставляемый с различными продуктами McAfee, включая McAfee Endpoint Security, включает компонент OpenSSL, который считает, что переменной OPENSSLDIR в качестве подкаталога может управлять непривилегированный пользователь Windows, — пишет Дорманн. — Агент McAfee Agent содержит привилегированную службу, которая использует этот компонент OpenSSL. Пользователь, который сможет поместить специально созданный файл openssl.cnf по соответствующему пути, сможет выполнить произвольный код с системными привилегиями».
После успешной эксплуатации такого бага злоумышленник получает возможность запускать вредоносные пейлоады и сможет лучше избегать обнаружения во время атак. Хотя подобные уязвимости можно эксплуатировать лишь локально, хакеры обычно задействуют такие баги на более поздних этапах атак, уже после проникновения на целевую машину, для повышения привилегий и обеспечения устойчивого присутствия в системе.