信息來源：安全內(nèi)參

McAfee Enterprise（現(xiàn)更名為 Trellix）修復(fù)了McAfee Agent 軟件 Windows 版中的一個漏洞（CVE-2022-0166），它可使攻擊者提權(quán)并以系統(tǒng)權(quán)限執(zhí)行任意代碼。

McAfee Agent 是 McAfee ePolicy Orchestrator (McAfee ePO) 的一個客戶端組件，用于下載并在企業(yè)端點上執(zhí)行端點策略并部署反病毒簽名、升級、補丁和新產(chǎn)品。

McAfee 公司已修復(fù)由美國 CERT/CC 漏洞分析師 Will Dormann 發(fā)現(xiàn)的這個高危本地提權(quán)漏洞，并在1月18日發(fā)布 McAfee Agent 5.7.5 發(fā)布安全更新。

所有早于5.7.5版本的 McAfee Agent 均受影響。該漏洞可導(dǎo)致低權(quán)限攻擊者使用 NT AUTHORITY\\\\SYSTEM 賬戶權(quán)限運行代碼，該權(quán)限是Windows 系統(tǒng)上的最高權(quán)限級別，由OS和OS服務(wù)使用。

Dormann 解釋稱，“McAfee Agent 用于多種 McAfee 產(chǎn)品中如 McAFEE Endpoint Security，如指定 OPENSSLDIR 變量作為可能由Windows 系統(tǒng)上低權(quán)限用戶控制的子目錄的OpenSSL 組件。McAfee Agent 包含一個使用該 OpenSSL 組件的權(quán)限服務(wù)。在正確路徑上放置特殊構(gòu)造 openssl.cnf 文件的用戶或能夠以系統(tǒng)權(quán)限實現(xiàn)代碼執(zhí)行。”

可被用于逃避檢測、加載惡意payload

成功利用該漏洞后，攻擊者可持久執(zhí)行惡意 payload 并在攻擊中躲避檢測。雖然僅可在本地利用，但該漏洞一般會在后續(xù)攻擊階段遭利用，即滲透目標(biāo)機器以提權(quán)，獲得持久性并進(jìn)一步攻陷系統(tǒng)。

這并非研究人員首次在分析 McAfee 的Windows 安全產(chǎn)品時發(fā)現(xiàn)漏洞。

例如，2021年9月，McAfee 修復(fù)了由 Tenable 安全研究員 Clément Notin 發(fā)現(xiàn)的另外一個 McAfee Agent 提權(quán)漏洞 (CVE-2020-7315)，它可導(dǎo)致本地用戶執(zhí)行任意代碼并打敗反病毒軟件。

兩年前，McAfee 公司修復(fù)了影響其所有 Windows 版本 Antivirus 軟件（Total Protection、Anti-Virus Plus 和Internet Security）的漏洞，它可導(dǎo)致攻擊者提權(quán)并以系統(tǒng)賬戶權(quán)限執(zhí)行代碼。

原文鏈接

https://www.bleepingcomputer.com/news/security/mcafee-agent-bug-lets-hackers-run-code-with-windows-system-privileges/