McAfee Agent 中的一個錯誤允許使用 Windows SYSTEM 權限運行代碼

McAfee（現為 Trellix）已解決了一個高度嚴重的漏洞，跟蹤為 CVE-2022-0166，該漏洞位于適用于 Windows 的 McAfee Agent 軟件中。攻擊者可以利用此漏洞提升權限并使用 SYSTEM 權限執行任意代碼。

McAfee Agent是 McAfee ePolicy Orchestrator (McAfee ePO) 的分布式組件。它下載并執行策略，并執行客戶端任務，例如部署和更新。代理還上傳事件并提供有關每個系統狀態的附加數據。它必須安裝在您希望管理的網絡中的每個系統上。

CVE-2022-0166 漏洞由 CERT/CC 漏洞分析師 Will Dormann 發現。

“5.7.5 之前的 McAfee Agent 中的權限提升漏洞。McAfee Agent 在構建過程中使用 openssl.cnf 將 OPENSSLDIR 變量指定為安裝目錄中的子目錄。” 閱讀McAfee 發布的建議。“低權限用戶可以創建子目錄并使用系統權限執行任意代碼，方法是創建指向專門創建的惡意 openssl.cnf 文件的適當路徑。”

這家安全公司于 1 月 18 日發布了 McAfee Agent 5.7.5，從而解決了該漏洞。

該問題影響 5.7.5 之前的代理版本，并允許非特權攻擊者使用 NT AUTHORITY\SYSTEM 帳戶權限運行代碼。

非特權用戶可以將特制的openssl.cnf放置 在 McAfee Agent 使用的位置，以在運行易受攻擊的代理軟件版本的 Windows 系統上執行具有 SYSTEM 權限的任意代碼。

“通過將特制的 openssl.cnf 放置在 McAfee Agent 使用的位置，非特權用戶可能能夠在安裝了易受攻擊的 McAfee Agent 軟件的 Windows 系統上以 SYSTEM 權限執行任意代碼。” 閱讀CERT/CC 發布的公告。

該漏洞只能在本地利用，無論如何，專家警告說，此問題可能與其他問題聯系在一起，以破壞目標系統并提升權限以執行其他惡意活動。

McAfee 還解決了 5.7.5 之前的軟件代理中的命令注入漏洞，該漏洞被跟蹤為 CVE-2021-31854。攻擊者可以利用此漏洞將任意 shell 代碼注入到文件 cleanup.exe 中。

“惡意的 clean.exe 文件被放置在相關文件夾中，并通過運行位于系統樹中的 McAfee Agent 部署功能來執行。攻擊者可能會利用該漏洞獲取反向shell，從而導致權限提升以獲得root權限。” 公告稱。