Twee zeer ernstige kwetsbaarheden die kunnen worden misbruikt voor escalatie van bevoegdheden zijn gepatcht in een McAfee enterprise-productcomponent.
De kwetsbaarheden zijn van invloed op versies ouder dan 5.7.5 van McAfee Agent, de ePolicy Orchestrator (ePO)-component die beleid downloadt en afdwingt, en taken aan de clientzijde uitvoert, zoals implementatie en updaten. De agent installeert en werkt ook eindpuntproducten bij.
Een van de gebreken, bijgehouden als CVE-2022-0166, werd ontdekt door Will Dormann van het CERT Coördinatiecentrum (CERT/CC) aan de Carnegie Mellon University. CERT/CC heeft donderdag een adviserend het beschrijven van de bevindingen van de onderzoeker.
Dormann ontdekte dat een OpenSSL-component die door McAfee Agent wordt gebruikt, een variabele gebruikt die een locatie specificeert waar onbevoegde Windows-gebruikers willekeurige bestanden kunnen plaatsen. Een aanvaller die een speciaal vervaardigd bestand kan plaatsen, kan willekeurige code uitvoeren met SYSTEM-rechten.
De tweede kwetsbaarheid, bijgehouden als CVE-2021-31854, kan door een lokale gebruiker worden misbruikt om willekeurige shell-code in een bestand te injecteren. Een aanvaller kan het beveiligingslek misbruiken om een omgekeerde shell te verkrijgen waarmee hij rootrechten kan verkrijgen.
Dit probleem is ontdekt door Russell Wells uit: Cyberlinx-beveiliging, die aan SecurityWeek heeft laten weten dat hij de komende tijd een blogpost zal publiceren waarin hij zijn bevindingen beschrijft.
Wells zei dat voor exploitatie toegang tot de McAfee ePO-host nodig is - niet de applicatie zelf, maar de onderliggende Windows-host.
Beide kwetsbaarheden hebben een classificatie met hoge ernst gekregen en zijn gepatcht met de release van McAfee Agent 5.7.5. McAfee heeft klanten geadviseerd om de update te installeren.
McAfee Enterprise fuseerde vorig jaar met FireEye nadat beide waren overgenomen door private equity-gigant STG. Deze week kondigde STG de lancering van Trellix, een uitgebreid detectie- en reactiebedrijf (XDR) dat is opgericht na de fusie.
Zie ook: Ernstige kwetsbaarheid gevonden in Imunify360-webserverbeveiligingsproduct
Zie ook: Drie zero-day fouten in SonicWall e-mailbeveiligingsproduct misbruikt bij aanvallen
Zie ook: Trend Micro patcht kritieke kwetsbaarheid in serverbeveiligingsoplossing
Bron: https://www.securityweek.com/high-severity-vulnerabilities-patched-mcafee-enterprise-product