McAfee已經(jīng)修補(bǔ)了其代理組件中的兩個(gè)高危漏洞，其中一個(gè)漏洞可以讓攻擊者以SYSTEM權(quán)限進(jìn)行任意代碼執(zhí)行操作。

McAfee目前已經(jīng)修補(bǔ)了其McAfee產(chǎn)品組件中的兩個(gè)高危漏洞，攻擊者可以利用這些漏洞提升權(quán)限，甚至可以提升到SYSTEM權(quán)限。

根據(jù)McAfee的公告，這些漏洞存在于McAfee Agent 5.7.5之前的版本中，McAfee Agent主要應(yīng)用于McAfee Endpoint Security及其他McAfee產(chǎn)品。

Agent是McAfee ePolicy Orchestrator(McAfee ePO)的一部分，其主要用于下載和執(zhí)行策略，以及執(zhí)行部署和更新等客戶端任務(wù)。

McAfee Agent同時(shí)也是上傳事件和提供有關(guān)系統(tǒng)狀態(tài)數(shù)據(jù)的重要組件。Agent會(huì)定期收集并向McAfee ePO服務(wù)器發(fā)送事件信息，它還負(fù)責(zé)安裝和更新終端產(chǎn)品，任何需要管理的網(wǎng)絡(luò)系統(tǒng)上都必須要安裝。

OpenSSL組件漏洞會(huì)導(dǎo)致用戶權(quán)限提升

Agent中含有一個(gè)漏洞，該漏洞被編號(hào)為CVE-2022-0166，CVSS基本危急等級(jí)被評(píng)定為7.8，該漏洞是由卡內(nèi)基梅隆大學(xué)CERT協(xié)調(diào)中心(CERT/CC)的Will Dormann發(fā)現(xiàn)的。

周四，CERT/CC發(fā)布公告稱，該漏洞是在Agent中的一個(gè)OpenSSL組件中發(fā)現(xiàn)的，該組件將OPENSSLDIR變量定義為了一個(gè)子目錄，該目錄可能會(huì)被Windows上的非特權(quán)用戶控制。

根據(jù)該公告，McAfee Agent 中包含了一個(gè)使用該OpenSSL組件的特權(quán)服務(wù)。用戶可以將特制的openssl.cnf文件放在適當(dāng)路徑上，那么該工具就能夠以SYSTEM權(quán)限實(shí)現(xiàn)任意代碼執(zhí)行操作。

安全專家所談的openssl.cnf，實(shí)際上是OpenSSL的一個(gè)配置文件。該文件可以為證書(shū)文件位置等項(xiàng)目提供SSL默認(rèn)值以及保存安裝時(shí)輸入的各種網(wǎng)站信息。

執(zhí)行任意shell代碼

McAfee在其公告中說(shuō)，Agent中的第二個(gè)漏洞被追蹤為CVE-2021-31854，CVSS關(guān)鍵性評(píng)級(jí)為7.7，該漏洞可以被本地用戶利用，并向文件中注入任意的shell代碼。據(jù)該公司稱，攻擊者可以利用這個(gè)安全漏洞獲得一個(gè)反向的shell，使他們能夠獲得root權(quán)限。

該漏洞的發(fā)現(xiàn)者Russell Wells分析稱，這是McAfee Agent for Windows在5.7.5之前的一個(gè)命令注入漏洞。

McAfee說(shuō)，它允許本地用戶在文件cleanup.exe中注入任意的shell代碼。

McAfee稱，惡意的clean.exe文件會(huì)被釋放到相關(guān)文件夾內(nèi)，并通過(guò)運(yùn)行于系統(tǒng)樹(shù)中的McAfee Agent部署功能來(lái)執(zhí)行，攻擊者可能會(huì)利用該漏洞獲得反向shell，這可能會(huì)使得攻擊者提升權(quán)限來(lái)進(jìn)行攻擊。

Wells告訴媒體，利用這個(gè)漏洞需要訪問(wèn)McAfee ePO主機(jī)，也就是底層Windows主機(jī)，而不是應(yīng)用程序本身。

攻擊者獲取權(quán)限后可以肆意妄為

利用特權(quán)升級(jí)漏洞，威脅者可以對(duì)那些一般情況下被鎖定保護(hù)的數(shù)據(jù)進(jìn)行攻擊。攻擊者可以利用這些權(quán)限來(lái)竊取機(jī)密數(shù)據(jù)、運(yùn)行管理命令、從文件系統(tǒng)中讀取文件和部署惡意軟件，甚至可以在攻擊期間逃避安全軟件檢測(cè)。

這并不是第一次在McAfee的代理中出現(xiàn)特權(quán)升級(jí)漏洞。幾個(gè)月前，在9月，該安全公司修補(bǔ)了一個(gè)由Tenable安全研究員Clément Notin發(fā)現(xiàn)的此類漏洞(CVE-2020-7315)。

該漏洞會(huì)導(dǎo)致McAfee Agent中的DLL注入攻擊，可能會(huì)允許本地管理員在不知道McAfee密碼的情況下關(guān)閉或篡改防病毒軟件。

本文翻譯自：https://threatpost.com/mcafee-bug-windows-system-privileges/177857/如若轉(zhuǎn)載，請(qǐng)注明原文地址。