IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

اجرای کد با اختیارات Windows SYSTEM در باگ جدید McAfee Agent

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir mcafee agent code execution flaw 1
مک‌آفی یک نقص امنیتی را در نرم‌افزار McAfee Agent خود برای Windows برطرف کرده که اجازه اجرای کد دلخواه با اختیارات SYSTEM را به مهاجم می‌دهد.

مک‌آفی-McAfee (در حال حاضر Trellix) یک آسیب‌پذیری با شدت بالا را که با نام CVE-۲۰۲۲-۰۱۶۶ مطرح می‌شود، برطرف کرده است که در نرم‌افزار McAfee Agent برای Windows قرار دارد. یک مهاجم می‌تواند از این نقص برای افزایش اختیارات و اجرای کد دلخواه با سطح اختیارات SYSTEM سواستفاده نماید.

اساساً McAfee Agent کامپوننت توزیع‌شده سازمان‌دهنده سیاست الکترونیک مک‌آفی (مک‌آفی ePO) است. این برنامه پالیسی‌ها را دانلود و اجرا می‌کند و وظایف سمت کلاینت مانند استقرار و بروزرسانی را اجرا می‌کند. Agent همچنین ایونت‌ها را آپلود می‌کند و داده‌های اضافی را در مورد وضعیت هر سیستم ارائه می‌دهد که باید روی هر سیستمی در شبکه شما که می‌خواهید مدیریت کنید نصب شود.

نقص CVE-۲۰۲۲-۰۱۶۶ توسط ویل دورمان، تحلیلگر آسیب‌پذیری CERT/CC کشف شده است.

توصیه امنیتی منتشر شده توسط McAfee می‌گوید: "یک آسیب‌پذیری افزایش اختیار در McAfee Agent قبل از 5.7.5 McAfee Agent از openssl.cnf در طول فرآیند ساخت استفاده می‌کند تا متغیر OPENSSLDIR را بعنوان یک زیرشاخه در دایرکتوری نصب مشخص کند. یک کاربر با اختیار پایین می‌تواند با ایجاد مسیر مناسب برای فایل مخرب openssl.cnf، زیر شاخه‌ها و کد‌های دلخواه را با اختیارات SYSTEM اجرا کند".

این شرکت امنیتی با انتشار McAfee Agent 5.7.5 در ۱۸ ژانویه این آسیب‌پذیری را برطرف کرد.

این مشکل بر نسخه‌های Agent قبل از 5.7.5 تأثیر می‌گذارد و به مهاجمان غیرمجاز اجازه می‌دهد تا کد را با استفاده از اختیارات حساب NT AUTHORITY\\SYSTEM اجرا نمایند.

یک کاربر غیرمجاز می‌تواند برای اجرای کد دلخواه با اختیارات SYSTEM روی یک سیستم ویندوزی که نسخه آسیب‌پذیر نرم‌افزار عامل را اجرا می‌کند، یک Openssl.cnf ساخته‌شده ویژه را در مکانی قرار دهد که توسط McAfee Agent استفاده می‌شود.

توصیه امنیتی منتشر شده توسط CERT/CC می‌گوید: "با قرار دادن یک openssl.cnf ساخته شده ویژه در مکانی که توسط McAfee Agent استفاده می‌شود، یک کاربر غیرمجاز ممکن است بتواند کد دلخواه با اختیارات SYSTEM را روی یک سیستم ویندوز با نرم‌افزار آسیب‌پذیر McAfee Agent نصب شده اجرا کند".

این آسیب‌پذیری فقط به‌صورت محلی قابل بهره‌برداری است، اما به هر حال، کارشناسان هشدار داده‌اند که این مشکل می‌تواند با مشکلات دیگری برای به خطر انداختن سیستم هدف و افزایش مجوز‌ها برای انجام فعالیت‌های مخرب اضافی پیوند برقرار کرده و گسترده‌تر شود.

مک‌آفی-McAfee همچنین آسیب‌پذیری کامند Injection را که تحت عنوان CVE-۲۰۲۱-۳۱۸۵۴ معرفی می‌شود، در نرم‌افزار Agent برای ویندوز قبل از نسخه 5.7.5 بررسی کرد. یک مهاجم می‌تواند از این آسیب‌پذیری برای تزریق کد shell دلخواه به فایل cleanup.exe سواستفاده کند.

این توصیه امنیتی در ادامه بیان می‌کند: "فایل مخرب clean.exe در پوشه مربوطه قرار می‌گیرد و با اجرای ویژگی استقرار McAfee Agent واقع در ساختار سیستم اجرا می‌شود. یک مهاجم ممکن است از این آسیب‌پذیری برای به دست آوردن یک shell معکوس استفاده کند که می‌تواند منجر به افزایش اختیار برای به دست آوردن سطح اختیارات روت شود".

برچسب ها: آسیب‌پذیر, نرم‌افزار, openssl.cnf, OPENSSLDIR, ePO, مک‌آفی, Trellix, McAfee Agent, SYSTEM, Windows SYSTEM, Agent, injection, اختیارات, cybersecurity, windows, ویندوز, McAfee, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل