McAfee已經修補了其代理組件中的兩個高危漏洞，其中一個漏洞可以讓攻擊者以SYSTEM權限進行任意代碼執行操作。

McAfee目前已經修補了其McAfee產品組件中的兩個高危漏洞，攻擊者可以利用這些漏洞提升權限，甚至可以提升到SYSTEM權限。

根據McAfee的公告，這些漏洞存在于McAfee Agent 5.7.5之前的版本中，McAfee Agent主要應用于McAfee Endpoint Security及其他McAfee產品。

Agent是McAfee ePolicy Orchestrator(McAfee ePO)的一部分，其主要用于下載和執行策略，以及執行部署和更新等客戶端任務。

McAfee Agent同時也是上傳事件和提供有關系統狀態數據的重要組件。Agent會定期收集并向McAfee ePO服務器發送事件信息，它還負責安裝和更新終端產品，任何需要管理的網絡系統上都必須要安裝。

OpenSSL組件漏洞會導致用戶權限提升

Agent中含有一個漏洞，該漏洞被編號為CVE-2022-0166，CVSS基本危急等級被評定為7.8，該漏洞是由卡內基梅隆大學CERT協調中心(CERT/CC)的Will Dormann發現的。

周四，CERT/CC發布公告稱，該漏洞是在Agent中的一個OpenSSL組件中發現的，該組件將OPENSSLDIR變量定義為了一個子目錄，該目錄可能會被Windows上的非特權用戶控制。

根據該公告，McAfee Agent 中包含了一個使用該OpenSSL組件的特權服務。用戶可以將特制的openssl.cnf文件放在適當路徑上，那么該工具就能夠以SYSTEM權限實現任意代碼執行操作。

安全專家所談的openssl.cnf，實際上是OpenSSL的一個配置文件。該文件可以為證書文件位置等項目提供SSL默認值以及保存安裝時輸入的各種網站信息。

執行任意shell代碼

McAfee在其公告中說，Agent中的第二個漏洞被追蹤為CVE-2021-31854，CVSS關鍵性評級為7.7，該漏洞可以被本地用戶利用，并向文件中注入任意的shell代碼。據該公司稱，攻擊者可以利用這個安全漏洞獲得一個反向的shell，使他們能夠獲得root權限。

該漏洞的發現者Russell Wells分析稱，這是McAfee Agent for Windows在5.7.5之前的一個命令注入漏洞。

McAfee說，它允許本地用戶在文件cleanup.exe中注入任意的shell代碼。

McAfee稱，惡意的clean.exe文件會被釋放到相關文件夾內，并通過運行于系統樹中的McAfee Agent部署功能來執行，攻擊者可能會利用該漏洞獲得反向shell，這可能會使得攻擊者提升權限來進行攻擊。

Wells告訴媒體，利用這個漏洞需要訪問McAfee ePO主機，也就是底層Windows主機，而不是應用程序本身。

攻擊者獲取權限后可以肆意妄為

利用特權升級漏洞，威脅者可以對那些一般情況下被鎖定保護的數據進行攻擊。攻擊者可以利用這些權限來竊取機密數據、運行管理命令、從文件系統中讀取文件和部署惡意軟件，甚至可以在攻擊期間逃避安全軟件檢測。

這并不是第一次在McAfee的代理中出現特權升級漏洞。幾個月前，在9月，該安全公司修補了一個由Tenable安全研究員Clément Notin發現的此類漏洞(CVE-2020-7315)。

該漏洞會導致McAfee Agent中的DLL注入攻擊，可能會允許本地管理員在不知道McAfee密碼的情況下關閉或篡改防病毒軟件。

本文翻譯自：https://threatpost.com/mcafee-bug-windows-system-privileges/177857/如若轉載，請注明原文地址。