McAfee Enterprise (vừa được đổi tên thành Trellix) vừa vá một lỗ hổng bảo mật nghiêm trọng trong phần mềm McAfee Agent dành cho Windows. Lỗ hổng này cho phép hacker nâng cao đặc quyền và chạy code tùy ý với đặc quyền hệ thống trên Windows.
McAfee Agent là một thành phần phía máy khách của McAfee ePolicy Orchestrator (McAfee ePO) với nhiệm vụ tải xuống và thực thi các chính sách endpoint và triển khai chữ ký chống virus, nâng cấp, vá và các sản phẩm mới trên endpoint của doanh nghiệp.
Theo McAfee, đây là lỗ hổng leo thang đặc quyền cục bộ (LPE) có mức độ nghiêm trọng và được theo dõi dưới mã CVE-2022-0166. Lỗ hổng này được phát hiện bởi chuyên gia phân tích lỗ hổng Will Dormann của CERT/CC. Lỗ hổng đã được vá trong bản cập nhật McAfee Agent 5.7.5 phát hành vào ngày 18/01.
Tất cả các phiên bản McAfee Agent cũ hơn 5.7.5 đều dễ bị tấn công và cho phép hacker không có đặc quyền chạy code bằng tài khoản đặc quyền NT AUTHORITY\SYSTEM, mức đặc quyền cao nhất trên hệ thống Windows. NT AUTHORITY\SYSTEM thường được sử dụng bởi hệ điều hành và các dịch vụ của hệ điều hành.
"McAfee Agent đi kèm với các sản phẩm khác nhau của McAfee như McAfee Endpoint Security, bao gồm một thành phần OpenSSL chỉ định một biến OPENSSLDIR làm thư mục con mà người dùng không có đặc quyền Windows có thể kiểm soát được", Dormann chia sẻ.
"McAfee Agent chứa một dịch vụ đặc quyền sử dụng thành phần SSL này. Người dùng có thể đặt tệp openssl.cnf được chế tạo đặc biệt tại một đường dẫn thích hợp là có thể thực thi code tùy ý với các đặc quyền của hệ thống".
Sau khi khai thác thành công lỗ hổng, hacker có thể liên tục thực thi các phần mềm độc hại và có khả năng tránh bị phát hiện trong khi tấn công. Hacker thường dùng dạng lỗ hổng LPE này trong giai đoạn sau của các cuộc tấn công. Sau khi xâm nhập vào hệ thống của mục tiêu, LPE được dùng để nâng cao đặc quyền nhằm duy trì sự hiện diện của mã độc, tiếp tục xâm nhập sâu hơn vào hệ thống.
Đây không phải lần đầu tiên các nhà nghiên cứu bảo mật tìm ra lỗ hổng trong các sản phẩm bảo mật Windows của McAfee.
Ví dụ: Tháng 9/2021, công ty này đã vá một lỗ hổng leo thang đặc quyền khác trong McAfee Agent (CVE-2020-7315) do nhà nghiên cứu bảo mật Clement Notin của Tenable phát hiện ra. CVE-2020-7315 cho phép hacker thực thi code tùy ý và vô hiệu hóa trình diệt virus.
Hai năm trước, McAfee đã vá một lỗ hổng bảo mật ảnh hưởng tới tất cả các phiên bản của phần mềm chống viurs dành cho Windows (như Total Protection, Anti-Virus Plus và Internet Security) và cho phép hacker nâng cao đặc quyền và thực thi code với tài khoản hệ thống.