{"id":261896,"date":"2022-01-22T12:36:34","date_gmt":"2022-01-22T11:36:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261896"},"modified":"2022-07-19T10:43:30","modified_gmt":"2022-07-19T08:43:30","slug":"schwachstelle-in-mcafee-agent-ermglicht-codeausfhrung-als-windows-system","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/22\/schwachstelle-in-mcafee-agent-ermglicht-codeausfhrung-als-windows-system\/","title":{"rendered":"Schwachstelle in McAfee Agent ermöglicht Codeausführung als Windows SYSTEM"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der McAfee Agent f\u00fcr Windows ist aufgrund einer gravierenden Schwachstelle anf\u00e4llig f\u00fcr die Ausweitung von Berechtigungen, so dass Programmcode mit Windows SYSTEM-Berechtigungen ausgef\u00fchrt werden kann. Der Hersteller hat die Schwachstelle CVE-2022-0166, die \u00fcber einen OpenSSL-Komponente in Produkte wie McAfee Endpoint Security eingeschleppt wurde, inzwischen korrigiert. Gleiches gibt f\u00fcr die zweite Code-Injection-Schwachstelle CVE-2021-31854. Erg\u00e4nzung:<\/strong> Und wenn ich es richtig mitbekommen habe, setzen die DATEV-L\u00f6sungen auf McAfee auf.<\/p>\n

<\/p>\n

\"\"Das CERT Coordination Center der Carnegie Mellon University hat diese von Will Dormann entdeckte Schwachstelle CVE-2022-0166<\/a> (siehe folgender Tweet<\/a>) am 20.1.2022 hier<\/a> beschrieben.<\/p>\n

\"CVE-2022-0166<\/a><\/p>\n

Der McAfee Agent, der mit verschiedenen McAfee-Produkten wie McAfee Endpoint Security geliefert wird, enth\u00e4lt eine OpenSSL-Komponente. Diese OpenSLL-Komponente gibt eine OPENSSLDIR-Variable als Unterverzeichnis an, das von einem unprivilegierten Benutzer unter Windows beschrieben und manipuliert werden kann.<\/p>\n

Der McAfee Agent enth\u00e4lt andererseits einen privilegierten Dienst, der diese OpenSSL-Komponente verwendet. Ein Benutzer, der eine speziell pr\u00e4parierte openssl.cnf<\/em>-Datei in einem geeigneten Pfad platzieren kann, ist m\u00f6glicherweise in der Lage, beliebigen Code mit SYSTEM-Rechten auszuf\u00fchren.<\/p>\n

Diese Schwachstelle wird in McAfee Agent Version 5.7.5 behoben. Mc Afee hat dazu diesen Sicherheitshinweis<\/a> ver\u00f6ffentlicht, in der neben CVE-2022-0166<\/a> sogar eine zweite Schwachstelle CVE-2021-31854 (gemeldet von Russell Wells\/Cyberlinx Security) als behoben bezeichnet wird. Die letztgenannte Schwachstelle erm\u00f6glicht eine Befehlsinjektion im McAfee Agent (MA) f\u00fcr Windows vor Version 5.7.5. Dies erm\u00f6glicht es lokalen Benutzern, beliebigen Shell-Code in die Datei cleanup.exe<\/em> zu injizieren.<\/p>\n

Die b\u00f6sartige Datei clean.exe wird im entsprechenden Ordner abgelegt und durch Ausf\u00fchren der McAfee Agent-Bereitstellungsfunktion in der Systemstruktur ausgef\u00fchrt. Ein Angreifer kann die Schwachstelle ausnutzen, um eine Reverse Shell zu erhalten, die zu einer Privilegienerweiterung f\u00fchren kann, um Root-Rechte zu erlangen.<\/p>\n

Am 18. Januar 2022 hat Mc Afee die Version 5.7.5 des McAfee Agent auf der Produkt-Download-Seite f\u00fcr Enterprise-Produkte zur Beseitigung der obigen Schwachstellen bereitgestellt. Der Zugriff erfordert aber eine ID. Weitere Details diesem Mc Afee Sicherheitshinweis<\/a> zu entnehmen. (via Bleeping Computer<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der McAfee Agent f\u00fcr Windows ist aufgrund einer gravierenden Schwachstelle anf\u00e4llig f\u00fcr die Ausweitung von Berechtigungen, so dass Programmcode mit Windows SYSTEM-Berechtigungen ausgef\u00fchrt werden kann. Der Hersteller hat die Schwachstelle CVE-2022-0166, die \u00fcber einen OpenSSL-Komponente in Produkte wie McAfee Endpoint … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[4328,4313,3288],"class_list":["post-261896","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-sicherheit","tag-virenschutz","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261896","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261896"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261896\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}