McAfee Enterprise (ahora renombrada como Trellix) ha corregido una vulnerabilidad de seguridad descubierta en el software McAfee Agent de la compañía para Windows que permite a los atacantes escalar privilegios y ejecutar código arbitrario con privilegios de sistema.
McAfee Agent es un componente del lado del cliente de McAfee ePolicy Orchestrator (McAfee ePO) que descarga y aplica las directivas de los endpoints y despliega firmas antivirus, actualizaciones, parches y nuevos productos en los endpoints de las empresas.
La empresa ha corregido el fallo de alta gravedad de escalada de privilegios local (LPE), rastreado como CVE-2022-0166 y descubierto por el analista de vulnerabilidades del CERT/CC Will Dormann, emitiendo actualizaciones de seguridad con el lanzamiento de McAfee Agent 5.7.5 el 18 de enero.
Todas las versiones de McAfee Agent anteriores a la 5.7.5 son vulnerables y permiten a los atacantes sin privilegios ejecutar código utilizando los privilegios de la cuenta NT AUTHORITY\SYSTEM, el nivel más alto de privilegios en un sistema Windows, utilizado por el SO y los servicios del SO.
"McAfee Agent, que viene con varios productos de McAfee como McAfee Endpoint Security, incluye un componente OpenSSL que especifica una variable OPENSSLDIR como un subdirectorio que puede ser controlado por un usuario sin privilegios en Windows", explicó Dormann.
"McAfee Agent contiene un servicio privilegiado que utiliza este componente OpenSSL. Un usuario que pueda colocar un archivo openssl.cnf especialmente diseñado en una ruta apropiada puede ser capaz de lograr la ejecución de código arbitrario con privilegios de sistema."
Luego de un ataque exitoso, los atacantes podrían ejecutar persistentemente cargas maliciosas y potencialmente evadir la detección durante los ataques.
Si bien solo se pueden explotar localmente, los ciberdelincuentes comúnmente explotan este tipo de falla de seguridad durante las etapas posteriores de sus ataques, después de infiltrarse en la máquina de destino para elevar los permisos para ganar persistencia y comprometer aún más el sistema.
Esta no es la primera vez que los investigadores de seguridad encuentran vulnerabilidades al analizar los productos de seguridad de Windows de McAfee.
Por ejemplo, en septiembre de 2021, la empresa corrigió otro error de escalada de privilegios de McAfee Agent (CVE-2020-7315) descubierto por el investigador de seguridad de Tenable, Clément Notin, que permitía a los usuarios locales ejecutar código arbitrario y eliminar el propio antivirus.
Dos años antes, McAfee solucionó una vulnerabilidad de seguridad que afectaba a todas las ediciones de su software antivirus para Windows (es decir, Total Protection, Anti-Virus Plus e Internet Security) y permitía a los posibles atacantes escalar privilegios y ejecutar código con autoridad de cuenta SYSTEM