Bug McAfee Dapat Dieksploitasi untuk Mendapatkan Keistimewaan SISTEM Windows

McAfee telah menambal dua kerentanan dengan tingkat keparahan tinggi dalam komponen produk McAfee Enterprise-nya yang dapat digunakan penyerang untuk meningkatkan hak istimewa, termasuk hingga SYSTEM.

Menurut buletin McAfee, bug tersebut ada di versi sebelum 5.7.5 dari Agen McAfee, yaitu digunakan di McAfee Endpoint Security, di antara produk McAfee lainnya.

Agen adalah bagian dari McAfee ePolicy Orchestrator (McAfee ePO) yang mengunduh dan menerapkan kebijakan serta menjalankan tugas sisi klien seperti penerapan dan pembaruan.

Agen McAfee juga merupakan komponen yang mengunggah peristiwa dan memberikan data tambahan mengenai status masing-masing sistem. Secara berkala mengumpulkan dan mengirimkan informasi acara ke server ePO McAfee, Agen – yang juga menginstal dan memperbarui produk titik akhir – adalah instalasi yang diperlukan pada sistem jaringan apa pun yang perlu dikelola. Agen – dilacak sebagai CVE-2022-0166 dan diberi peringkat kekritisan dasar CVSS sebesar 7,8 – ditemukan oleh Will Dormann dari Pusat Koordinasi CERT Universitas Carnegie Mellon (CERT/CC).

Pada hari Kamis, CERT/CC menerbitkan sebuah nasihat yang mengatakan bahwa kerentanan ditemukan dalam komponen OpenSSL di Agen yang menetapkan variabel OPENSSLDIR sebagai subdirektori yang “[mungkin] dapat dikontrol oleh pengguna yang tidak memiliki hak di Windows.”

Menurut penasihat, Agen McAfee “berisi layanan istimewa yang menggunakan komponen OpenSSL ini . Seorang pengguna yang dapat menempatkan file openssl.cnf yang dibuat khusus di jalur yang sesuai mungkin dapat mencapai eksekusi kode arbitrer dengan hak istimewa SISTEM.”

Dormann menemukan bahwa pengguna yang tidak memiliki hak dapat mengeksploitasi bug untuk menempatkan openssl.cnf yang dibuat khusus di lokasi digunakan oleh Agen McAfee dan dengan demikian berpotensi dapat mengeksekusi kode arbitrer dengan hak istimewa SISTEM pada sistem Windows yang menginstal perangkat lunak Agen McAfee yang rentan.

Ketika Dormann merujuk ke openssl.cnf, dia berbicara tentang file konfigurasi OpenSSL: file yang menyediakan default SSL untuk item seperti lokasi file sertifikat, dan detail situs seperti yang dimasukkan selama instalasi.

Arbitrary Shell Code

Bug kedua di Agen – dilacak sebagai CVE-2021-31854 dan diberi peringkat kekritisan CVSS 7,7 – dapat dimanfaatkan oleh pengguna lokal untuk menyuntikkan kode shell sewenang-wenang ke dalam file, kata McAfee dalam penasehatnya. “Seorang penyerang dapat mengeksploitasi lubang keamanan untuk mendapatkan cangkang terbalik yang memungkinkan mereka mendapatkan hak akses root,” menurut perusahaan.

Kerentanan, yang masih menunggu analisis oleh penemunya – Russell Wells dari Cyberlinx Security – adalah injeksi perintah kerentanan di McAfee Agent untuk Windows sebelum 5.7.5. McAfee mengatakan bahwa itu memungkinkan pengguna lokal untuk menyuntikkan kode shell sewenang-wenang ke dalam file cleanup.exe.

“File clean.exe berbahaya ditempatkan ke folder yang relevan dan dieksekusi dengan menjalankan fitur penyebaran Agen McAfee yang terletak di System Tree,” menurut ke McAfee. “Seorang penyerang dapat mengeksploitasi kerentanan untuk mendapatkan shell terbalik yang dapat menyebabkan eskalasi hak istimewa untuk mendapatkan hak akses root.”

Wells mengatakan kepada Security Week bahwa mengeksploitasi bug ini memerlukan akses ke host ePO McAfee, seperti pada host Windows yang mendasarinya, bukan host aplikasi itu sendiri.

Elevated Access Memungkinkan Pelaku Ancaman Menjalankan Amok

Mengeksploitasi bug eskalasi hak istimewa memungkinkan pelaku ancaman mengais sumber daya yang biasanya harus dikunci dengan aman. Penyerang dapat menggunakan hak istimewa yang lebih tinggi untuk mencuri data rahasia, menjalankan perintah administratif, membaca file dari sistem file dan menyebarkan malware, serta berpotensi menghindari deteksi selama serangan.

Ini bukan pertama kalinya bug peningkatan hak istimewa muncul di Agen McAfee. Beberapa bulan yang lalu, pada bulan September, perusahaan keamanan menambal salah satu bug tersebut (CVE-2020-7315) yang ditemukan oleh peneliti keamanan Tenable Clément Notin.

Bahwa bug sebelumnya melibatkan injeksi DLL di Agen McAfee yang dapat memungkinkan administrator lokal untuk membunuh atau mengutak-atik antivirus, tanpa mengetahui kata sandi McAfee.

Foto milik MO Stevens. Detail lisensi.
Tulis komentar
Bagikan artikel ini:

  • Kerentananliu
      iKeamanan Web