Eine kritische Sicherheitslücke im McAfee Agent ermöglicht es Hackern unter Umständen, in Netzwerke einzudringen und sich mit vollen Windows-System-Rechten auszustatten. Es gibt bereits ein Update, welches die schwerwiegende Schwachstelle behebt.
Das berichtet das Online-Magazin Bleeping Computer. Demnach klafft in McAfee Enterprise (umbenannt in Trellix) eine Sicherheitslücke, die von Hackern weitreichend ausgenutzt werden kann. Die Sicherheitslücke wurde dabei in der McAfee Agent-Software für Windows entdeckt. McAfee Agent ist eine clientseitige Komponente von McAfee ePolicy Orchestrator (McAfee ePO), die Richtlinien für Endgeräte herunterlädt und durchsetzt sowie Antiviren-Signaturen, Upgrades, Patches und neue Produkte auf Unternehmens-Endgeräten bereitstellt. Man kann also im Grunde alle wichtigen Sicherheitsfunktionen in die Hand der Software geben, doch durch die entdeckte Sicherheitslücke sind die Abwehrmaßnahmen ausgeschaltet.
Lokale Privilegien-Erweiterung möglich
Mit der Veröffentlichung von McAfee Agent 5.7.5 hat das Unternehmen die schwerwiegende Schwachstelle der lokalen Privilegien-Erweiterung (LPE) behoben, die unter der Bezeichnung CVE-2022-0166 geführt wird. Alle McAfee Agent-Versionen vor 5.7.5 sind laut dem Bericht anfällig und ermöglichen es Angreifern, Code mit den Rechten des NT AUTHORITY\SYSTEM-Kontos auszuführen, der höchsten Berechtigungsstufe auf einem Windows-System, die vom Betriebssystem selbst und den Betriebssystemdiensten verwendet wird.
"McAfee Agent, das mit verschiedenen McAfee-Produkten wie McAfee Endpoint Security ausgeliefert wird, enthält eine OpenSSL-Komponente, die eine OPENSSLDIR-Variable als Unterverzeichnis angibt, das von einem unprivilegierten Benutzer unter Windows kontrolliert werden kann", erklärt der Sicherheitsexperte Will Dormann, der die Schwachstelle entdeckt und an das Unternehmen gemeldet hatte. "McAfee Agent enthält einen privilegierten Dienst, der diese OpenSSL-Komponente verwendet. Ein Benutzer, der eine speziell präparierte openssl.cnf-Datei an einem geeigneten Pfad platzieren kann, ist möglicherweise in der Lage, beliebigen Code mit SYSTEM-Rechten auszuführen."
Hacker mit vollem Zugriff
Falls Hacker das geschafft haben, haben sie gewissermaßen freien Zugang zu allen Komponenten und können Schadsoftware installieren und Daten stehlen, ohne erkannt zu werden. Die Sicherheitslücke kann allerdings nur auf lokaler Ebene ausgenutzt werden, was die Ausnutzung erst einmal etwas schwieriger macht.
Inwiefern die Schwachstelle aktiv ausgenutzt wird, ist nicht bekannt.
Quelle; winfuture
Das berichtet das Online-Magazin Bleeping Computer. Demnach klafft in McAfee Enterprise (umbenannt in Trellix) eine Sicherheitslücke, die von Hackern weitreichend ausgenutzt werden kann. Die Sicherheitslücke wurde dabei in der McAfee Agent-Software für Windows entdeckt. McAfee Agent ist eine clientseitige Komponente von McAfee ePolicy Orchestrator (McAfee ePO), die Richtlinien für Endgeräte herunterlädt und durchsetzt sowie Antiviren-Signaturen, Upgrades, Patches und neue Produkte auf Unternehmens-Endgeräten bereitstellt. Man kann also im Grunde alle wichtigen Sicherheitsfunktionen in die Hand der Software geben, doch durch die entdeckte Sicherheitslücke sind die Abwehrmaßnahmen ausgeschaltet.
Lokale Privilegien-Erweiterung möglich
Mit der Veröffentlichung von McAfee Agent 5.7.5 hat das Unternehmen die schwerwiegende Schwachstelle der lokalen Privilegien-Erweiterung (LPE) behoben, die unter der Bezeichnung CVE-2022-0166 geführt wird. Alle McAfee Agent-Versionen vor 5.7.5 sind laut dem Bericht anfällig und ermöglichen es Angreifern, Code mit den Rechten des NT AUTHORITY\SYSTEM-Kontos auszuführen, der höchsten Berechtigungsstufe auf einem Windows-System, die vom Betriebssystem selbst und den Betriebssystemdiensten verwendet wird.
"McAfee Agent, das mit verschiedenen McAfee-Produkten wie McAfee Endpoint Security ausgeliefert wird, enthält eine OpenSSL-Komponente, die eine OPENSSLDIR-Variable als Unterverzeichnis angibt, das von einem unprivilegierten Benutzer unter Windows kontrolliert werden kann", erklärt der Sicherheitsexperte Will Dormann, der die Schwachstelle entdeckt und an das Unternehmen gemeldet hatte. "McAfee Agent enthält einen privilegierten Dienst, der diese OpenSSL-Komponente verwendet. Ein Benutzer, der eine speziell präparierte openssl.cnf-Datei an einem geeigneten Pfad platzieren kann, ist möglicherweise in der Lage, beliebigen Code mit SYSTEM-Rechten auszuführen."
Hacker mit vollem Zugriff
Falls Hacker das geschafft haben, haben sie gewissermaßen freien Zugang zu allen Komponenten und können Schadsoftware installieren und Daten stehlen, ohne erkannt zu werden. Die Sicherheitslücke kann allerdings nur auf lokaler Ebene ausgenutzt werden, was die Ausnutzung erst einmal etwas schwieriger macht.
Inwiefern die Schwachstelle aktiv ausgenutzt wird, ist nicht bekannt.
Quelle; winfuture
