McAfee a corrigé une vulnérabilité de sécurité découverte dans le logiciel McAfee Agent pour Windows de la société, permettant aux attaquants d’élever les privilèges et d’exécuter du code arbitraire avec les privilèges SYSTEM.
Agent McAfee est un composant côté client de McAfee ePolicy Orchestrator (McAfee ePO) qui télécharge et applique des stratégies de point de terminaison et déploie des signatures antivirus, des mises à niveau, des correctifs et de nouveaux produits sur les points de terminaison de l’entreprise.
La société a corrigé la faille d’escalade de privilèges locaux (LPE) suivie comme CVE-2022-0166 et découvert par l’analyste de vulnérabilité CERT/CC Will Dormann a publié des mises à jour de sécurité avec la sortie de McAfee Agent 5.7.5 le 18 janvier.
Toutes les versions de McAfee Agent antérieures à 5.7.5 sont vulnérables et permettent à des attaquants non privilégiés d’exécuter du code à l’aide des privilèges de compte NT AUTHORITYSYSTEM, le niveau de privilèges le plus élevé sur un système Windows, utilisé par le système d’exploitation et les services du système d’exploitation.
« McAfee Agent, fourni avec divers produits McAfee tels que McAfee Endpoint Security, comprend un composant OpenSSL qui spécifie une variable OPENSSLDIR en tant que sous-répertoire pouvant être contrôlé par un utilisateur non privilégié sous Windows », a déclaré Dormann. expliqué.
« McAfee Agent contient un service privilégié qui utilise ce composant OpenSSL. Un utilisateur qui peut placer un fichier openssl.cnf spécialement conçu dans un chemin approprié peut être en mesure d’exécuter du code arbitraire avec les privilèges SYSTEM. »
Exploitable pour l’évasion, le chargement de charges utiles malveillantes
Après une exploitation réussie, les acteurs de la menace pourraient exécuter de manière persistante des charges utiles malveillantes et potentiellement échapper à la détection lors des attaques.
Bien qu’ils ne soient exploitables que localement, les acteurs de la menace exploitent généralement ce type de faille de sécurité au cours des étapes ultérieures de leurs attaques, après avoir infiltré la machine cible pour élever les autorisations afin de gagner en persistance et de compromettre davantage le système.
Ce n’est pas la première fois que des chercheurs en sécurité découvrent des vulnérabilités lors de l’analyse des produits de sécurité Windows de McAfee.
Par exemple, en septembre 2021, la société correction d’un autre bug d’escalade de privilèges McAfee Agent (CVE-2020-7315) découverte par le chercheur en sécurité de Tenable Clément Notin qui permettait aux utilisateurs locaux d’exécuter du code arbitraire et de tuer l’antivirus.
Deux ans auparavant, McAfee avait corrigé une faille de sécurité affectant toutes les éditions de son logiciel antivirus pour Windows (c’est-à-dire, Total Protection, Anti-Virus Plus et Internet Security) et permettant aux attaquants potentiels d’élever les privilèges et d’exécuter du code avec l’autorité du compte SYSTEM.