Новости Знаменитый антивирус McAfee распахнул хакерам путь к захвату ПК на Windows

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.900
Репутация
62.390
Реакции
277.089
RUB
0

Баг в приложении McAfee Agent позволял потенциальным злоумышленникам повышать свои привилегии до уровня System. Но только при условии локальной эксплуатации.








Привилегии как с куста


Высокоопасная уязвимость в разработках McAfee Enterprise (теперь Trellix) позволяла киберзлоумышленникам повышать свои привилегии при атаках до высшего уровня Systemи запускать произвольный код с этими правами. Патчи, устраняющие проблему были выпущены 18 января 2022 г.


Уязвимость непосредственно содержалась в McAfee Agent, клиентском компоненте McAfeee Policy Orchestrator — пакете, осуществляющем регулирование политик безопасности и распространение сигнатур, обновлений и новых продуктов на корпоративные эндпойнты.


Проблему обнаружил эксперт CERT/CC Уилл Дорманн (Will Dormann). «McAfee Agent, распространяемый с большим количеством разных продуктов McAfee, в том числе McAfee Endpoint Security, включает компонент OpenSSL, который задает переменную OPENSSLDIR в качестве субкаталога, доступного для непривилегированных пользователей Windows, — пояснил Дорманн. — McAfee Agent также содержит привилегированную службу, которая использует этот компонент. Пользователь, который имеет возможность поместить в нужный каталог специально подготовленный файл openssl.cnf, в итоге получает способ запуска произвольного кода с привилегиями SYSTEM».


ma_600.jpg

Очередная уязвимость в разработках McAfee допускала запуск произвольного кода

Это высший уровень привилегий, открывающий потенциальному злоумышленнику возможности для совершения любых действий в системе. В случае успешной эксплуатации бага у хакеров появлялась возможность запускать любые вредоносные программы и избегать обнаружения антивирусными средствами.


Только локально. Или нет?


Уязвимость получила индекс CVE-2022-0166. Индекс угрозы — высокоопасная, но не критическая — связан с тем, что эксплуатация проблемы возможна только локально. С другой стороны, как отмечается в материале издания Bleeping Computer, злоумышленники часто используют такие уязвимости в ходе поздних стадий атак, уже после того, как им удается произвести первичную компрометацию целевой системы.


«Уязвимости в антивирусах, превращающих их из средства защиты в источник угрозы, — одно из самых проблемных явлений в сфере информационной безопасности, — говорит Анастасия Мельникова, директор по информбезопасности компании SEQ. — К сожалению, подобные инциденты происходят отнюдь не редко. Единственное, что обнадеживает в данном случае, это что уязвимость была устранена до того, как информация о ней попала в публичное поле».


Проблема не уникальна


Действительно, это уже не первый случай, когда исследователи обнаруживают серьезные проблемы с безопасностью в разработках McAfee для Windows. Например, в сентябре 2021 г. компания вынуждена была выпускать патч к уязвимости, которая также позволяла запускать произвольный код и выводить антивирус из строя.


Два года назад McAfee пришлось устранять еще одну уязвимость, которая затрагивала все версии ее антивируса для Windows. Этот баг тоже позволял запускать произвольный код с системными привилегиями.


Активы McAfee Enterprise в 2021 г. были приобретены венчурной корпорацией Symphony Technology Group (STG). Она также выкупила компанию FireEye и осуществила их слияние в единую структуру. Ранее в январе 2022 г. было название новой объединенной компании — Trellix. Новая фирма будет специализироваться на поставках XDR-решений для бизнеса. Однако продукты McAfee Enterprise останутся в ротации. Более того, в дальнейшем STG обещает запустить отдельную компанию, которая будет заниматься развитием технологий корпоративной защиты McAfee.






 
Сверху Снизу