В McAfee Agent устранили баг, приводящий к запуску кода с правами SYSTEM

McAfee устранила уязвимость в компоненте McAfee Agent для систем Windows. По словам специалистов, эта брешь могла привести к повышению привилегий и выполнению произвольного кода с правами SYSTEM.

McAfee Agent представляет собой компонент McAfee ePolicy Orchestrator (McAfee ePO) на стороне клиента. Он отвечает за загрузку и применение политик, а также за установку антивирусных сигнатур, обновлений, патчей и новых продуктов на корпоративных конечных точках.

Уязвимость отслеживается под идентификатором CVE-2022-0166, её обнаружил аналитик CERT/CC Уилл Дорманн. С выходом McAfee Agent 5.7.5, который состоялся 18 января, брешь залатали.

Все версии агента до 5.7.5, к сожалению, уязвимы и позволяют атакующему запустить произвольный код с привилегиями NT AUTHORITY\SYSTEM — наивысшими в операционной системе.

«McAfee Agent поставляется с различными продуктами, такими как McAfee Endpoint Security. Также агент содержит службу с высокими правами, который использует компонент OpenSSL. Если пользователь поместит специально созданный файл openssl.cnf по некорректному пути, он сможет выполнить код с правами SYSTEM», — объясняет Дорманн.

Если у киберпреступников будет рабочий эксплойт, они смогут запустить вредоносные программы и при этом избежать детектирования антивирусными средствами.