• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

McAfee漏洞允许攻击者获得Windows系统权限


Recommended Posts

目前,McAfee已经修补了其McAfee产品组件中的两个高危漏洞。攻击者可以利用这些漏洞提升他们的权限,甚至提升到系统权限。

根据McAfee的公告,这些漏洞存在于McAfee Agent 5 . 7 . 5之前的版本中,McAfee Agent主要用于McAfee Endpoint Security和其他McAfee产品中。

是Agent McAfee e policy orchestrator(McAfee EPO)的一部分,主要用于下载和执行策略,以及执行部署和更新等客户端任务。

McAfee也是上传事件和提供系统状态数据的重要组件。代理定期收集事件信息并将其发送到McAfee ePO服务器,它还负责安装和更新终端产品,这些产品必须安装在任何需要管理的网络系统上。

OpenSSL组件漏洞会导致用户权限提升

Agent包含一个漏洞,漏洞编号为CVE-2022-0166,CVSS基本临界级别为7.8。该漏洞是由卡内基梅隆大学CERT协调中心(CERT/CC)的Will Dormann发现的。

周四,CERT/CC宣布在Agent中的一个OpenSSL组件中发现了该漏洞,该组件将OPENSSLDIR变量定义为一个子目录,该子目录可能被Windows上的无权限用户控制。

根据此声明,McAfee Agent包含一个使用此OpenSSL组件的特权服务。用户可以将特制的openssl.cnf文件放在适当的路径下,然后该工具就可以用系统权限实现任意代码执行操作。

安全专家讲的Openssl.cnf其实是Openssl的一个配置文件。该文件可以为证书文件位置等项目提供SSL默认值,并保存安装期间输入的各种网站信息。

执行任意shell代码

McAfee在其公告中表示,Agent中的第二个漏洞被追踪为CVE-2021-31854,CVSS危险等级为7.7。本地用户可以利用此漏洞,并且可以将任意外壳代码注入文件中。据该公司称,攻击者可以利用这一安全漏洞获得一个反向外壳,使他们能够获得root权限。

该漏洞的发现者Russell Wells分析,这是5.7.5之前的McAfee Agent for Windows的一个命令注入漏洞。

McAfee表示,它允许本地用户将任意外壳代码注入文件cleanup.exe。

据McAfee称,恶意clean.exe文件会被释放到相关文件夹中,并通过系统树中运行的McAfee Agent的部署功能执行。攻击者可以利用此漏洞获取反向外壳,这可能导致攻击者提升攻击权限。

威尔斯告诉媒体,利用该漏洞需要访问McAfee ePO主机,即底层Windows主机,而不是应用程序本身。

攻击者获取权限后可以肆意妄为

通过利用特权提升漏洞,威胁可以攻击通常被锁定和保护的数据。攻击者可以使用这些权限来窃取机密数据、运行管理命令、从文件系统读取文件和部署恶意软件,甚至在攻击过程中躲避安全软件的检测。

这并不是McAfee的代理中第一次出现权限提升漏洞。几个月前的9月,这家安全公司修补了一个这样的漏洞(CVE-2020-7315),该漏洞是由Tenable的安全研究员克莱门特诺廷(Clment Notin)发现的。

此漏洞可导致McAfee Agent中的DLL注入攻击,这可能允许本地管理员在不知道McAfee密码的情况下关闭或篡改防病毒软件。

Link to comment
Share on other sites