McAfee Agent の 脆弱性が FIX:SYSTEM 権限での任意のコード実行

McAfee Agent bug lets hackers run code with Windows SYSTEM privileges

2022/01/21 BleepingComputer — McAfee Enterprise (現在は Trellix に社名変更) は、同社の Windows 用ソフトウェアである McAfee Agent で発見されたセキュリティ上の脆弱性を修正し、攻撃者による特権昇格と SYSTEM 権限での任意のコード実行の問題に対処した。McAfee Agent は、McAfee ePolicy Orchestrator (McAfee ePO) のクライアント側コンポーネントであり、エンドポイント・ポリシーのダウンロードと適用/アンチウイルスのシグネチャ/アップグレード/パッチ/新製品などの、企業エンドポイントへの展開を行なう。

同社は、1月18日にリリースされた McAfee Agent 5.7.5 で、CERT/CC の脆弱性アナリストである Will Dormann が発見した、ローカル特権昇格 (LPE) の脆弱性 CVE-2022-0166 深刻度 High を修正し、セキュリティ・アップデートを発行した。

McAfee Agent 5.7.5 以前のバージョンには脆弱性があり、権限のない攻撃者による、Windows システムの最高レベル NT AUTHORITY\SYSTEM アカウント権限を介した、OS や OS サービスが使用するコードの実行を許してしまう。

Will Dormann は、「McAfee Endpoint Security などの McAfee 製品に付属する McAfee Agentには、Windows の非特権ユーザーが制御可能なサブディレクトリとして、OPENSSLDIR 変数を指定する OpenSSL コンポーネントが含まれている。さらに、McAfee Agent には、この OpenSSL コンポーネントを使用する特権的なサービスが含まれている。特別に細工された openssl.cnf ファイルを適切なパスに置くことができるユーザーに対して、SYSTEM 権限による任意のコード実行を許す可能性がある」と説明している。

検知の回避および悪意のペイロード読み込み

悪用に成功すると、脅威者は悪意のペイロードを持続的に実行し、攻撃時に検知を回避する可能性がある。この種のセキュリティ上の欠陥は、ローカルでしか利用できず、一般的には攻撃の後半で利用される。つまり、攻撃対象のマシンに侵入して権限を昇格させ、持続的に実行することで、システムを危険にさらすことになる。

セキュリティ研究者が McAfee の Windows セキュリティ製品の分析中に、このような脆弱性を発見したのは、今回が初めてのことではない。たとえば、2021年9月には、Tenable のセキュリティ研究者である Clément Notin が発見した、別の McAfee Agent の権限昇格バグ (CVE-2020-7315) にパッチを適用され、ローカル・ユーザーが任意のコードを実行して、このウイルス対策ソフトを停止させるという問題が FIX した。

その2年前にも McAfee は、Windows 用アンチウイルス・ソフトウェアの全エディション (Total Protection/Anti-Virus Plus/Internet Security など) に影響するセキュリティ脆弱性を修正し、潜在的な攻撃者が特権を昇格させ、SYSTEM アカウントの権限でコード実行するという問題が FIX した。

このブログが始まった2021年4月以降ですが、McAfee の脆弱性に関する記事はないようです。その一方で、2021年10月の「カメレオンと呼ばれる新たな高度持続性脅威:日本を含む国々の重要インフラを狙っている」では McAfee を偽装する APT の話が紹介されていました。また、2021年7月の「Microsoft Office のマクロ警告を OFF にする新たなトリックが発見された」と、11月の「ロシアと中国のコラボ:Dark Web でハッカーたちは何を相談する?」では、McAfee Lab の活躍が紹介されています。

%d bloggers like this: