Баг в приложении McAfee Agent позволял потенциальным злоумышленникам повышать свои привилегии до уровня System. Но только при условии локальной эксплуатации, пишет CNews.
Высокоопасная уязвимость в разработках McAfee Enterprise (теперь Trellix) позволяла киберзлоумышленникам повышать свои привилегии при атаках до высшего уровня Systemи запускать произвольный код с этими правами. Патчи, устраняющие проблему были выпущены 18 января 2022 г.
Уязвимость непосредственно содержалась в McAfee Agent, клиентском компоненте McAfeee Policy Orchestrator — пакете, осуществляющем регулирование политик безопасности и распространение сигнатур, обновлений и новых продуктов на корпоративные эндпойнты.
Проблему обнаружил эксперт CERT/CC Уилл Дорманн (Will Dormann). «McAfee Agent, распространяемый с большим количеством разных продуктов McAfee, в том числе McAfee Endpoint Security, включает компонент OpenSSL, который задает переменную OPENSSLDIR в качестве субкаталога, доступного для непривилегированных пользователей Windows, — пояснил Дорманн. — McAfee Agent также содержит привилегированную службу, которая использует этот компонент. Пользователь, который имеет возможность поместить в нужный каталог специально подготовленный файл openssl.cnf, в итоге получает способ запуска произвольного кода с привилегиями SYSTEM».
Это высший уровень привилегий, открывающий потенциальному злоумышленнику возможности для совершения любых действий в системе. В случае успешной эксплуатации бага у хакеров появлялась возможность запускать любые вредоносные программы и избегать обнаружения антивирусными средствами.
Уязвимость получила индекс CVE-2022-0166. Индекс угрозы — высокоопасная, но не критическая — связан с тем, что эксплуатация проблемы возможна только локально. С другой стороны, как отмечается в материале издания Bleeping Computer, злоумышленники часто используют такие уязвимости в ходе поздних стадий атак, уже после того, как им удается произвести первичную компрометацию целевой системы.
«Уязвимости в антивирусах, превращающих их из средства защиты в источник угрозы, — одно из самых проблемных явлений в сфере информационной безопасности, — говорит Анастасия Мельникова, директор по информбезопасности компании SEQ. — К сожалению, подобные инциденты происходят отнюдь не редко. Единственное, что обнадеживает в данном случае, это что уязвимость была устранена до того, как информация о ней попала в публичное поле».
Действительно, это уже не первый случай, когда исследователи обнаруживают серьезные проблемы с безопасностью в разработках McAfee для Windows. Например, в сентябре 2021 г. компания вынуждена была выпускать патч к уязвимости, которая также позволяла запускать произвольный код и выводить антивирус из строя.
Два года назад McAfee пришлось устранять еще одну уязвимость, которая затрагивала все версии ее антивируса для Windows. Этот баг тоже позволял запускать произвольный код с системными привилегиями.
Активы McAfee Enterprise в 2021 г. были приобретены венчурной корпорацией Symphony Technology Group (STG). Она также выкупила компанию FireEye и осуществила их слияние в единую структуру. Ранее в январе 2022 г. было объявлено название новой объединенной компании — Trellix. Новая фирма будет специализироваться на поставках XDR-решений для бизнеса. Однако продукты McAfee Enterprise останутся в ротации. Более того, в дальнейшем STG обещает запустить отдельную компанию, которая будет заниматься развитием технологий корпоративной защиты McAfee.
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
