鑽石舞台

McAfee目前已經修補了其McAfee產品組件中的兩個高危漏洞，攻擊者可以利用這些漏洞提升權限，甚至可以提升到SYSTEM權限。

根據McAfee的公告，這些漏洞存在於McAfee Agent 5.7.5之前的版本中，McAfee Agent主要應用於McAfee Endpoint Security及其他McAfee產品。

Agent是McAfee ePolicy Orchestrator（McAfee ePO）的一部分，其主要用於下載和執行策略，以及執行部署和更新等客戶端任務。

McAfee Agent同時也是上傳事件和提供有關系統狀態數據的重要組件。Agent會定期收集並向McAfee ePO服務器發送事件信息，它還負責安裝和更新終端產品，任何需要管理的網絡系統上都必須要安裝。

Agent中含有一個漏洞，該漏洞被編號為CVE-2022-0166，CVSS基本危急等級被評定為7.8，該漏洞是由卡內基梅隆大學CERT協調中心（CERT/CC）的Will Dormann發現的。

周四，CERT/CC發布公告稱，該漏洞是在Agent中的一個OpenSSL組件中發現的，該組件將OPENSSLDIR變量定義為了一個子目錄，該目錄可能會被Windows上的非特權用戶控制。

根據該公告，McAfee Agent 中包含了一個使用該OpenSSL組件的特權服務。用戶可以將特製的openssl.cnf文件放在適當路徑上，那麼該工具就能夠以SYSTEM權限實現任意代碼執行操作。

安全專家所談的openssl.cnf，實際上是OpenSSL的一個配置文件。該文件可以為證書文件位置等項目提供SSL默認值以及保存安裝時輸入的各種網站信息。

McAfee在其公告中說，Agent中的第二個漏洞被追蹤為CVE-2021-31854，CVSS關鍵性評級為7.7，該漏洞可以被本地用戶利用，並向文件中注入任意的shell代碼。據該公司稱，攻擊者可以利用這個安全漏洞獲得一個反向的shell，使他們能夠獲得root權限。

該漏洞的發現者Russell Wells分析稱，這是McAfee Agent for Windows在5.7.5之前的一個命令注入漏洞。

McAfee說，它允許本地用戶在文件cleanup.exe中注入任意的shell代碼。

McAfee稱，惡意的clean.exe文件會被釋放到相關文件夾內，並通過運行於系統樹中的McAfee Agent部署功能來執行，攻擊者可能會利用該漏洞獲得反向shell，這可能會使得攻擊者提升權限來進行攻擊。

Wells告訴媒體，利用這個漏洞需要訪問McAfee ePO主機，也就是底層Windows主機，而不是應用程序本身。

利用特權升級漏洞，威脅者可以對那些一般情況下被鎖定保護的數據進行攻擊。攻擊者可以利用這些權限來竊取機密數據、運行管理命令、從文件系統中讀取文件和部署惡意軟件，甚至可以在攻擊期間逃避安全軟件檢測。

這並不是第一次在McAfee的代理中出現特權升級漏洞。幾個月前，在9月，該安全公司修補了一個由Tenable安全研究員Clément Notin發現的此類漏洞（CVE-2020-7315）。

該漏洞會導致McAfee Agent中的DLL注入攻擊，可能會允許本地管理員在不知道McAfee密碼的情況下關閉或篡改防病毒軟件。

參考及來源：https://threatpost.com/mcafee-bug-windows-system-privileges/177857/