El error de McAfee Agent permite a los piratas informáticos ejecutar código con privilegios de SISTEMA de Windows

McAfee corrigió una vulnerabilidad de seguridad descubierta en el software McAfee Agent para Windows de la empresa, lo que permitía a los atacantes aumentar los privilegios y ejecutar código arbitrario con privilegios de SISTEMA.

McAfee Agent es un componente del lado del cliente de McAfee ePolicy Orchestrator (McAfee ePO) que descarga y aplica políticas de endpoint y distribuye firmas antivirus, actualizaciones, parches y nuevos productos a endpoints empresariales.

La empresa corrigió la falla de escalada de privilegios locales (LPE) de alta gravedad identificada como CVE-2022-0166 y descubierta por el analista de vulnerabilidades CERT/CC Will Dormann, quien lanzó actualizaciones de seguridad con el lanzamiento de McAfee Agent 5.7.5 el 18 de enero.

Todas las versiones de McAfee Agent anteriores a la 5.7.5 son vulnerables y permiten que los atacantes sin privilegios ejecuten código utilizando los privilegios de la cuenta NT AUTHORITY SYSTEM, el nivel más alto de privilegios en un sistema Windows, utilizado por el sistema operativo y los servicios del sistema operativo.

"McAfee Agent, que se envía con varios productos de McAfee, como McAfee Endpoint Security, incluye un componente OpenSSL que especifica una variable OPENSSLDIR como un subdirectorio que puede ser controlado por un usuario sin privilegios en Windows", explicó Dormann.

"McAfee Agent contiene un servicio privilegiado que utiliza este componente OpenSSL. Un usuario que puede colocar un archivo openssl.cnf especialmente diseñado en una ubicación adecuada puede obtener la ejecución de código arbitrario con privilegios de SISTEMA".

Se puede usar para evasión, cargando cargas maliciosas

Después de una explotación exitosa, los actores de amenazas podrían ejecutar constantemente cargas maliciosas y potencialmente evadir la detección durante los ataques.

Aunque solo se pueden explotar localmente, los actores de amenazas comúnmente explotan este tipo de falla de seguridad durante las últimas etapas de sus ataques, habiéndose infiltrado en la computadora de destino para elevar los permisos para lograr la persistencia y comprometer aún más el sistema.

Esta no es la primera vez que los investigadores de seguridad encuentran vulnerabilidades al escanear los productos de seguridad de Windows de McAfee.

Por ejemplo, en septiembre de 2021, la empresa corrigió otro error de escalada de privilegios de McAfee Agent (CVE-2020-7315) descubierto por el investigador de seguridad de Tenable, Clément Notin, que permitía a los usuarios locales ejecutar código arbitrario y eliminar el antivirus.

Dos años antes, McAfee solucionó una vulnerabilidad de seguridad que afectaba a todas las ediciones de su software antivirus de Windows (es decir, Total Protection, Anti-Virus Plus e Internet Security) y permitía a los posibles atacantes privilegiar y ejecutar código con la autorización de la cuenta SYSTEM.