اجرای کد با اختیارات Windows SYSTEM در باگ جدید McAfee Agent
اخبار داغ فناوری اطلاعات و امنیت شبکه
مکآفی یک نقص امنیتی را در نرمافزار McAfee Agent خود برای Windows برطرف کرده که اجازه اجرای کد دلخواه با اختیارات SYSTEM را به مهاجم میدهد.
مکآفی-McAfee (در حال حاضر Trellix) یک آسیبپذیری با شدت بالا را که با نام CVE-۲۰۲۲-۰۱۶۶ مطرح میشود، برطرف کرده است که در نرمافزار McAfee Agent برای Windows قرار دارد. یک مهاجم میتواند از این نقص برای افزایش اختیارات و اجرای کد دلخواه با سطح اختیارات SYSTEM سواستفاده نماید.
اساساً McAfee Agent کامپوننت توزیعشده سازماندهنده سیاست الکترونیک مکآفی (مکآفی ePO) است. این برنامه پالیسیها را دانلود و اجرا میکند و وظایف سمت کلاینت مانند استقرار و بروزرسانی را اجرا میکند. Agent همچنین ایونتها را آپلود میکند و دادههای اضافی را در مورد وضعیت هر سیستم ارائه میدهد که باید روی هر سیستمی در شبکه شما که میخواهید مدیریت کنید نصب شود.
نقص CVE-۲۰۲۲-۰۱۶۶ توسط ویل دورمان، تحلیلگر آسیبپذیری CERT/CC کشف شده است.
توصیه امنیتی منتشر شده توسط McAfee میگوید: "یک آسیبپذیری افزایش اختیار در McAfee Agent قبل از 5.7.5 McAfee Agent از openssl.cnf در طول فرآیند ساخت استفاده میکند تا متغیر OPENSSLDIR را بعنوان یک زیرشاخه در دایرکتوری نصب مشخص کند. یک کاربر با اختیار پایین میتواند با ایجاد مسیر مناسب برای فایل مخرب openssl.cnf، زیر شاخهها و کدهای دلخواه را با اختیارات SYSTEM اجرا کند".
این شرکت امنیتی با انتشار McAfee Agent 5.7.5 در ۱۸ ژانویه این آسیبپذیری را برطرف کرد.
این مشکل بر نسخههای Agent قبل از 5.7.5 تأثیر میگذارد و به مهاجمان غیرمجاز اجازه میدهد تا کد را با استفاده از اختیارات حساب NT AUTHORITY\\SYSTEM اجرا نمایند.
یک کاربر غیرمجاز میتواند برای اجرای کد دلخواه با اختیارات SYSTEM روی یک سیستم ویندوزی که نسخه آسیبپذیر نرمافزار عامل را اجرا میکند، یک Openssl.cnf ساختهشده ویژه را در مکانی قرار دهد که توسط McAfee Agent استفاده میشود.
توصیه امنیتی منتشر شده توسط CERT/CC میگوید: "با قرار دادن یک openssl.cnf ساخته شده ویژه در مکانی که توسط McAfee Agent استفاده میشود، یک کاربر غیرمجاز ممکن است بتواند کد دلخواه با اختیارات SYSTEM را روی یک سیستم ویندوز با نرمافزار آسیبپذیر McAfee Agent نصب شده اجرا کند".
این آسیبپذیری فقط بهصورت محلی قابل بهرهبرداری است، اما به هر حال، کارشناسان هشدار دادهاند که این مشکل میتواند با مشکلات دیگری برای به خطر انداختن سیستم هدف و افزایش مجوزها برای انجام فعالیتهای مخرب اضافی پیوند برقرار کرده و گستردهتر شود.
مکآفی-McAfee همچنین آسیبپذیری کامند Injection را که تحت عنوان CVE-۲۰۲۱-۳۱۸۵۴ معرفی میشود، در نرمافزار Agent برای ویندوز قبل از نسخه 5.7.5 بررسی کرد. یک مهاجم میتواند از این آسیبپذیری برای تزریق کد shell دلخواه به فایل cleanup.exe سواستفاده کند.
این توصیه امنیتی در ادامه بیان میکند: "فایل مخرب clean.exe در پوشه مربوطه قرار میگیرد و با اجرای ویژگی استقرار McAfee Agent واقع در ساختار سیستم اجرا میشود. یک مهاجم ممکن است از این آسیبپذیری برای به دست آوردن یک shell معکوس استفاده کند که میتواند منجر به افزایش اختیار برای به دست آوردن سطح اختیارات روت شود".
برچسب ها: آسیبپذیر, نرمافزار, openssl.cnf, OPENSSLDIR, ePO, مکآفی, Trellix, McAfee Agent, SYSTEM, Windows SYSTEM, Agent, injection, اختیارات, cybersecurity, windows, ویندوز, McAfee, امنیت سایبری, Cyber Attacks, حمله سایبری