mcafee

McAfee Agent’taki Bir Hata, Kodun Windows System Ayrıcalıklarıyla Çalıştırılmasına İzin Veriyor

McAfee, Windows için McAfee Agent yazılımında, System ayrıcalıklarıyla rastgele kod çalıştırmaya izin veren bir güvenlik açığını ele aldı.

McAfee (şimdi Trellix), Windows için McAfee Agent yazılımında bulunan, CVE-2022-0166 olarak izlenen yüksek önem derecesine sahip bir güvenlik açığını giderdi. Saldırgan, ayrıcalıkları yükseltmek ve SYSTEM ayrıcalıklarıyla rastgele kod yürütmek için bu kusurdan yararlanabilir.

McAfee Agent, McAfee ePolicy Orchestrator'ın (McAfee ePO) dağıtılmış bileşenidir. İlkeleri indirir ve uygular ve dağıtım ve güncelleme gibi istemci tarafı görevleri yürütür. Aracı ayrıca olayları yükler ve her sistemin durumuyla ilgili ek veriler sağlar. Ağınızdaki yönetmek istediğiniz her sisteme kurulmalıdır.

CVE-2022-0166 açığı, CERT/CC güvenlik açığı analisti Will Dormann tarafından keşfedildi.

“McAfee Agent'ta 5.7.5'ten önceki bir ayrıcalık yükseltme güvenlik açığı. McAfee Agent, OPENSSLDIR değişkenini yükleme dizini içinde bir alt dizin olarak belirtmek için oluşturma işlemi sırasında openssl.cnf kullanır." McAfee tarafından yayınlanan danışma belgesini okur. "Düşük ayrıcalıklı bir kullanıcı, özel olarak oluşturulmuş kötü amaçlı openssl.cnf dosyasına uygun yolu oluşturarak SYSTEM ayrıcalıklarıyla alt dizinler oluşturabilir ve rastgele kod yürütebilirdi."

Güvenlik firması, 18 Ocak'ta McAfee Agent 5.7.5'in piyasaya sürülmesiyle güvenlik açığını giderdi.

McAfee Agent'taki Bir Hata, Kodun Windows System Ayrıcalıklarıyla Çalıştırılmasına İzin Veriyor Click to Tweet

Sorun, 5.7.5'ten önceki Aracı sürümlerini etkiliyor ve ayrıcalığı olmayan saldırganların NT AUTHORITY\SYSTEM hesap ayrıcalıklarını kullanarak kod çalıştırmasına izin veriyor.

Ayrıcalığı olmayan bir kullanıcı, ajan yazılımının güvenlik açığı bulunan bir sürümünü çalıştıran bir Windows sisteminde System ayrıcalıklarıyla rastgele kod yürütmek için McAfee Agent tarafından kullanılan bir konuma özel hazırlanmış bir openssl.cnf yerleştirebilir.

"Özel hazırlanmış bir openssl.cnf dosyasını McAfee Agent tarafından kullanılan bir konuma yerleştirerek, ayrıcalığı olmayan bir kullanıcı, güvenlik açığı bulunan McAfee Agent yazılımının yüklü olduğu bir Windows sisteminde SİSTEM ayrıcalıklarıyla rastgele kod çalıştırabilir." CERT/CC tarafından yayınlanan danışma belgesini okur.

Güvenlik açığından yalnızca yerel olarak yararlanılabilir, yine de uzmanlar, bu sorunun hedef sistemi tehlikeye atmak ve ek kötü niyetli faaliyetler yürütmek için izinleri yükseltmek için diğer sorunlarla zincirlenebileceği konusunda uyarıyor.

McAfee ayrıca 5.7.5'ten önce Windows için Agent yazılımında CVE-2021-31854 olarak izlenen bir Komut Enjeksiyon güvenlik açığını da ele aldı. Saldırgan, cleanup.exe dosyasına rastgele kabuk kodu eklemek için bu güvenlik açığından yararlanabilir.

“Kötü amaçlı clean.exe dosyası ilgili klasöre yerleştirilir ve Sistem Ağacında bulunan McAfee Agent dağıtım özelliği çalıştırılarak yürütülür. Saldırgan, kök ayrıcalıkları elde etmek için ayrıcalık yükselmesine yol açabilecek bir ters kabuk elde etmek için güvenlik açığından yararlanabilir." tavsiyeyi belirtir.


Kaynak: https://securityaffairs.co/wordpress/127044/security/mcafee-agent-code-execution-flaw.html


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

McAfee Agent'taki Bir Hata, Kodun Windows System Ayrıcalıklarıyla Çalıştırılmasına İzin Veriyor