Vulnerabilidad de software de McAfee que podría permitir a los piratas informáticos ejecutar código con privilegios del sistema Windows

McAfee Enterprise (recientemente rebautizado como Trellix) solucionó una vulnerabilidad crítica en su software McAfee Agent para Windows. Esta vulnerabilidad podría permitir que un hacker aumente los privilegios y ejecute código arbitrario con privilegios del sistema en Windows.

McAfee Agent es el componente de cliente de McAfee ePolicy Orchestrator (McAfee ePO), que descarga y aplica políticas de punto final e implementa firmas antivirus, actualizaciones, parches y nuevos productos en puntos finales corporativos. karma.

Según McAfee, esta es una vulnerabilidad de escalada de vulnerabilidad crítica (LPE) rastreada bajo el código CVE-2022-0166. La vulnerabilidad fue descubierta por el analista de vulnerabilidades CERT/CC Will Dorman. La vulnerabilidad fue corregida en la actualización de McAfee Agent 5.7.5, publicada el 18 de enero.

Todas las versiones de McAfee Agent anteriores a la 5.7.5 son vulnerables y permiten que los piratas informáticos sin privilegios ejecuten código utilizando la cuenta NT AUTHORITYSYSTEM privilegiada, el nivel más alto de privilegios en los sistemas Windows. El sistema operativo y sus servicios suelen utilizar NT AUTHORITYSYSTEM.

"McAfee Agent viene con una variedad de productos McAfee, incluido McAfee Endpoint Security, e incluye un componente OpenSSL que define la variable OPENSSLDIR como un subdirectorio que pueden controlar los usuarios que no usan Windows", dijo Dorman. será.

"McAfee Agent contiene servicios privilegiados que utilizan este componente SSL. Un usuario que puede colocar un archivo openssl.cnf especialmente diseñado en la ruta adecuada puede ejecutar código arbitrario con privilegios del sistema.sistema.

Después de explotar con éxito la vulnerabilidad, los piratas informáticos pueden continuar ejecutando malware, evitando potencialmente la detección durante el ataque. Los piratas informáticos suelen utilizar esta forma de vulnerabilidad LPE más adelante en un ataque. Después de penetrar en el sistema de destino, LPE se usa para aumentar los privilegios de mantener la presencia de código malicioso que continúa penetrando profundamente en el sistema.

Esta no es la primera vez que los investigadores de seguridad descubren vulnerabilidades en los productos de seguridad de McAfee para Windows.

Por ejemplo, en septiembre de 2021, la empresa corrigió otra vulnerabilidad de escalada de vulnerabilidad (CVE-2020-7315) en McAfee Agent, descubierta por el investigador de seguridad de Tenable, Clement Notin. CVE-2020-7315 permite a los piratas informáticos ejecutar código arbitrario y deshabilitar el software antivirus.

Hace dos años, McAfee solucionó una falla de seguridad que afectaba a todas las versiones del software antivirus de Windows (como Total Protection, Anti-Virus Plus e Internet Security) y permitía a los piratas informáticos aumentar los privilegios y ejecutar código utilizando una cuenta del sistema.