Podatność w McAfee można wykorzystać do uzyskania uprawnień w systemie Windows
Firma McAfee załatała dwa bardzo poważne błędy, w komponencie Agenta McAfee Enterprise, jeden z błędów umożliwia atakującym eskalację uprawnień i wykonanie dowolnego kodu z uprawnieniami SYSTEM.
Zgodnie z biuletynem McAfee, błędy te występują w wersjach wcześniejszych niż 5.7.5 Agenta McAfee, który jest używany między innymi w programie McAfee Endpoint Security.
Agent to element programu McAfee ePolicy Orchestrator (McAfee ePO), który pobiera i wymusza zasady oraz wykonuje zadania po stronie klienta, takie jak wdrażanie i aktualizowanie. Jest również komponentem, który przesyła zdarzenia i dostarcza dodatkowe dane dotyczące stanu każdego systemu. Okresowo zbierając i wysyłając informacje o zdarzeniach do serwera McAfee ePO, Agent — który również instaluje i aktualizuje produkty dla punktów końcowych — jest wymaganą instalacją w każdym zarządzanym systemie sieciowym.
Błąd komponentu OpenSSL może prowadzić do uzyskania uprawnień systemowych
Jedna z podatności agenta – znana jako CVE-2022-0166 i mająca bazową ocenę krytyczności CVSS wynoszącą 7,8 – została odkryta przez Willa Dormanna z Centrum Koordynacji CERT Uniwersytetu Carnegie Mellon (CERT/CC).
W czwartek 20.01.2022, CERT/CC opublikował zalecenie, w którym stwierdzono, że luka została znaleziona w komponencie OpenSSL agenta McAfee, który określa zmienną OPENSSLDIR jako podkatalog, który „może być kontrolowany przez nieuprzywilejowanego użytkownika w systemie Windows”.
Zgodnie z publikacją, Agent McAfee „zawiera uprzywilejowaną usługę, która korzysta z tego składnika OpenSSL. Użytkownik, który może umieścić specjalnie spreparowany plik openssl.cnf w odpowiedniej ścieżce, może wykonać dowolny kod z uprawnieniami SYSTEM.”
Dormann odkrył, że nieuprzywilejowany użytkownik może wykorzystać ten błąd, aby umieścić specjalnie spreparowany plik openssl.cnf w lokalizacji używanej przez Agenta McAfee, a tym samym jest w stanie wykonać dowolny kod z uprawnieniami SYSTEM w systemie Windows, w którym zainstalowano oprogramowanie Agenta McAfee.
Kiedy Dormann odniósł się do openssl.cnf, mówił o pliku konfiguracyjnym OpenSSL: pliku, który zapewnia domyślne ustawienia SSL dla takich elementów, jak lokalizacje plików certyfikatów i szczegóły witryny, takie jak te wprowadzone podczas instalacji.
Drugi błąd w agencie – znany jako CVE-2021-31854 i mający ocenę krytyczności CVSS 7,7 – może zostać wykorzystany przez lokalnego użytkownika do wstrzyknięcia dowolnego kodu do pliku, wskazał McAfee w swoim poradniku. „Atakujący może wykorzystać lukę w zabezpieczeniach, aby uzyskać odwrotną powłokę, która pozwoli uzyskać uprawnienia roota” — stwierdziło McAfee.
Luka, która wciąż czeka na analizę przez swojego odkrywcę — Russella Wellsa z Cyberlinx Security — to luka związana z wstrzykiwaniem poleceń w programie Agenta McAfee dla systemu Windows w wersji wcześniejszej niż 5.7.5. McAfee powiedział, że umożliwia to lokalnym użytkownikom wstrzyknięcie dowolnego kodu powłoki do pliku cleanup.exe.
Według McAfee „Złośliwy plik clean.exe jest umieszczany w odpowiednim folderze i uruchamiany przez wywołanie funkcji wdrażania programu Agenta McAfee znajdującego się w drzewie systemowym”. „Atakujący może wykorzystać tę lukę, aby uzyskać odwrotną powłokę, która może prowadzić do eskalacji uprawnień w celu uzyskania uprawnień administratora”.
Wells wskazał, że wykorzystanie tego błędu wymaga dostępu do hosta McAfee ePO, na przykład do bazowego hosta systemu Windows, a nie do samej aplikacji.
Wykorzystywanie błędów związanych z eskalacją uprawnień pozwala cyberprzestępcom poruszać się w zasobach, które normalnie powinny właściwie zabezpieczone. Atakujący mogą wykorzystać te podwyższone uprawnienia do kradzieży poufnych danych, uruchamiania poleceń administracyjnych, odczytywania plików z systemu plików i wdrażania złośliwego oprogramowania, a także do potencjalnego unikania wykrycia podczas ataków.
To nie pierwszy raz, kiedy w Agencie McAfee pojawiły się błędy związane z eskalacją uprawnień. Kilka miesięcy temu, we wrześniu 2021, McAfee załatał taki błąd (CVE-2020-7315), który został odkryty przez badacza bezpieczeństwa Tenable Clémenta Notina. Podatność ta dotyczyła możliwości wstrzyknięcia biblioteki DLL w programie Agenta McAfee, dając tym samym lokalnemu administratorowi uprawnienia na zamknięcie procesów McAfee lub manipulowanie programem antywirusowym bez znajomości hasła administracyjnego do McAfee.