A McAfee corrigiu duas vulnerabilidades de alta gravidade em um componente de seu produto McAfee Enterprise que os invasores podem usar para aumentar privilégios, incluindo até de sistema. De acordo com boletim da empresa, os bugs estão nas versões anteriores à 5.7.5 do McAfee Agent, que é usado no McAfee Endpoint Security, entre outros produtos da companhia.
O Agent é a parte do McAfee ePolicy Orchestrator (McAfee ePO) que baixa e impõe políticas e executa tarefas do lado do cliente, como implantação e atualização. Ele também é o componente que carrega eventos e fornece dados adicionais sobre o status de cada sistema. Coletando e enviando periodicamente informações de eventos para o servidor McAfee ePO, o Agent — que também instala e atualiza produtos de terminal — é uma instalação obrigatória em qualquer sistema de rede que precise ser gerenciado.
Uma das falhas no Agent — rastreada como CVE-2022-0166 e com classificação CVSS de criticidade de 7,8 — foi descoberta por Will Dormann, do Centro de Coordenação CERT da Universidade Carnegie Mellon (CERT/CC).
Na quinta-feira, 20, o CERT/CC publicou um comunicado que dizia que a vulnerabilidade é encontrada em um componente OpenSSL no Agent que especifica uma variável OPENSSLDIR como um subdiretório que “[pode] ser controlável por um usuário sem privilégios no Windows”.
De acordo com o comunicado, o McAfee Agent “contém um serviço privilegiado que utiliza esse componente OpenSSL. Um usuário pode colocar um arquivo openssl.cnf especialmente criado em um caminho apropriado e conseguir a execução arbitrária de código com privilégios de sistema”.
Dormann descobriu que um usuário sem privilégios poderia explorar o bug para colocar um openssl.cnf especialmente criado em um local usado pelo McAfee Agent e, assim, potencialmente poder executar código arbitrário com privilégios de sistema no Windows que tenha o Agent vulnerável instalado.
Código shell arbitrário
O segundo bug no Agent — rastreado como CVE-2021-31854 e com classificação de criticidade CVSS de 7,7 — pode ser explorado por um usuário local para injetar código shell arbitrário em um arquivo, disse a McAfee em seu comunicado. “Um invasor pode explorar a falha de segurança para obter um shell reverso que permite obter privilégios de root”, segundo a empresa.
A vulnerabilidade, que ainda está pendente de análise por seu descobridor — Russell Wells, da Cyberlinx Security — é uma vulnerabilidade de injeção de comando no McAfee Agent for Windows anterior à versão 5.7.5. A McAfee disse que permite aos usuários locais injetar código shell arbitrário no arquivo cleanup.exe.
Veja isso
McAfee vendida por US$ 14 bi a grupo de investidores
McAfee e Panasonic apostam em SOC para segurança global de veículos
“O arquivo clean.exe malicioso é colocado na pasta relevante e instalado executando o recurso de implantação do McAfee Agent localizado na árvore do sistema”, de acordo com a McAfee. “Um invasor pode explorar a vulnerabilidade para obter um shell reverso que pode levar ao escalonamento de privilégios para obter privilégios de root.”
Wells disse à Security Week que explorar esse bug requer acesso ao host McAfee ePO, como no host Windows subjacente, não no aplicativo em si.
A exploração de bugs de escalonamento de privilégios permite que os agentes de ameaças explorem recursos que normalmente deveriam ser bloqueados com segurança. Os invasores podem usar esses privilégios elevados para roubar dados confidenciais, executar comandos administrativos, ler arquivos do sistema de arquivos e implantar malware, além de evitar a detecção durante ataques.
Esta não é a primeira vez que bugs de escalonamento de privilégios aparecem no McAfee Agent. Em setembro do ano passado, a empresa de segurança corrigiu um desses bugs (CVE-2020-7315) que foi descoberto pelo pesquisador de segurança da Tenable, Clément Notin. Esse bug anterior envolvia injeção de DLL no McAfee Agent que poderia permitir que um administrador local matasse ou adulterasse o antivírus, sem saber a senha da McAfee.