- Специальный корреспондент
Баг в приложении McAfee Agent позволял потенциальным злоумышленникам повышать свои привилегии до уровня System. Но только при условии локальной эксплуатации.
Привилегии как с куста
Высокоопасная уязвимость в разработках McAfee Enterprise (теперь Trellix) позволяла киберзлоумышленникам повышать свои привилегии при атаках до высшего уровня Systemи запускать произвольный код с этими правами. Патчи, устраняющие проблему были выпущены 18 января 2022 г.
Уязвимость непосредственно содержалась в McAfee Agent, клиентском компоненте McAfeee Policy Orchestrator — пакете, осуществляющем регулирование политик безопасности и распространение сигнатур, обновлений и новых продуктов на корпоративные эндпойнты.
Проблему обнаружил эксперт CERT/CC Уилл Дорманн (Will Dormann). «McAfee Agent, распространяемый с большим количеством разных продуктов McAfee, в том числе McAfee Endpoint Security, включает компонент OpenSSL, который задает переменную OPENSSLDIR в качестве субкаталога, доступного для непривилегированных пользователей Windows, — пояснил Дорманн. — McAfee Agent также содержит привилегированную службу, которая использует этот компонент. Пользователь, который имеет возможность поместить в нужный каталог специально подготовленный файл openssl.cnf, в итоге получает способ запуска произвольного кода с привилегиями SYSTEM».
Очередная уязвимость в разработках McAfee допускала запуск произвольного кода
Это высший уровень привилегий, открывающий потенциальному злоумышленнику возможности для совершения любых действий в системе. В случае успешной эксплуатации бага у хакеров появлялась возможность запускать любые вредоносные программы и избегать обнаружения антивирусными средствами.
Только локально. Или нет?
Уязвимость получила индекс CVE-2022-0166. Индекс угрозы — высокоопасная, но не критическая — связан с тем, что эксплуатация проблемы возможна только локально. С другой стороны, как отмечается в материале издания Bleeping Computer, злоумышленники часто используют такие уязвимости в ходе поздних стадий атак, уже после того, как им удается произвести первичную компрометацию целевой системы.
«Уязвимости в антивирусах, превращающих их из средства защиты в источник угрозы, — одно из самых проблемных явлений в сфере информационной безопасности, — говорит Анастасия Мельникова, директор по информбезопасности компании SEQ. — К сожалению, подобные инциденты происходят отнюдь не редко. Единственное, что обнадеживает в данном случае, это что уязвимость была устранена до того, как информация о ней попала в публичное поле».
Проблема не уникальна
Действительно, это уже не первый случай, когда исследователи обнаруживают серьезные проблемы с безопасностью в разработках McAfee для Windows. Например, в сентябре 2021 г. компания вынуждена была выпускать патч к уязвимости, которая также позволяла запускать произвольный код и выводить антивирус из строя.
Два года назад McAfee пришлось устранять еще одну уязвимость, которая затрагивала все версии ее антивируса для Windows. Этот баг тоже позволял запускать произвольный код с системными привилегиями.
Активы McAfee Enterprise в 2021 г. были приобретены венчурной корпорацией Symphony Technology Group (STG). Она также выкупила компанию FireEye и осуществила их слияние в единую структуру. Ранее в январе 2022 г. было название новой объединенной компании — Trellix. Новая фирма будет специализироваться на поставках XDR-решений для бизнеса. Однако продукты McAfee Enterprise останутся в ротации. Более того, в дальнейшем STG обещает запустить отдельную компанию, которая будет заниматься развитием технологий корпоративной защиты McAfee.
