image

Lek in McAfee Agent laat aanvaller code met systeemrechten uitvoeren

vrijdag 21 januari 2022, 14:42 door Redactie, 12 reacties

Een kwetsbaarheid in de Agent-software van antivirusbedrijf McAfee maakt het mogelijk voor een aanvaller die al toegang tot een computer heeft om code met systeemrechten uit te voeren en zo volledige controle over de machine te krijgen. De McAfee Agent is geen beveiligingssoftware op zichzelf, maar communiceert tussen de beveiligingssoftware op het systeem en de McAfee ePO-server. De agent wordt met verschillende McAfee producten meegeleverd, waaronder Endpoint Security.

De Agent-software maakt gebruik van een OpenSSL-onderdeel dat weer naar een directory wijst waar gebruikers zonder rechten controle over hebben. De McAfee Agent draait met systeemrechten. Door een speciaal geprepareerd openssl.cnf-bestand in deze directory te plaatsen kan een ongeprivilegieerde gebruiker code met systeemrechten uitvoeren. Het beveiligingslek, aangeduid als CVE-2022-0166, heeft een impactscore van 7,8 en werd gevonden door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. McAfee heeft het probleem verholpen in versie 5.7.5 van de Agent-software.

Reacties (12)
21-01-2022, 14:50 door Anoniem
Een mogelijkheid om mezelf de door mijn bedrijf dichtgetimmerde laptop weer toe te eigenen...
21-01-2022, 15:47 door Anoniem
Door Anoniem: Een mogelijkheid om mezelf de door mijn bedrijf dichtgetimmerde laptop weer toe te eigenen...

Toeeigenen van een bedrijfslaptop? Hmmm.
21-01-2022, 17:52 door Anoniem
Door Anoniem: Een mogelijkheid om mezelf de door mijn bedrijf dichtgetimmerde laptop weer toe te eigenen...

Hm. voor 500,- een eigen laptop kopen, of gratis het risico lopen ontslagen te worden.
<Clint Eastwood voice>Feeling lucky?</Clint Eastwood voice>
21-01-2022, 18:49 door Anoniem
Zo iets kan alleen onder windows. Leve de antivirussoftware
22-01-2022, 16:16 door karma4
Door Anoniem: Zo iets kan alleen onder windows. Leve de antivirussoftware
Whoehha ik lig ine een deuk.
Met alle hard coded users/passwords is dant andere OS zo lek dat je met deze zaken nog niets hebt aan veiligheid.
23-01-2022, 08:33 door Anoniem
Door karma4:
Door Anoniem: Zo iets kan alleen onder windows. Leve de antivirussoftware
Whoehha ik lig ine een deuk.
Met alle hard coded users/passwords is dant andere OS zo lek dat je met deze zaken nog niets hebt aan veiligheid.

Uit deze reactie blijkt dat jij maar 2 OS'en kent en je volledig gefocust bent om iedere opmerking over Windows te 'pareren' met een tegenaanval op Linux.
23-01-2022, 15:08 door walmare
Door karma4:
Door Anoniem: Zo iets kan alleen onder windows. Leve de antivirussoftware
Whoehha ik lig ine een deuk.
Met alle hard coded users/passwords is dant andere OS zo lek dat je met deze zaken nog niets hebt aan veiligheid.
In een deuk? terwijl afgerond alle ransomware incidenten zich afspelen op jouw favoriete windows. https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf Je bent een producent van nepinfo. Waarom?
Als je nu een punt had zou dat welkom zijn, maar nu gedraag je je als een wappie.

Herkansing. Leg eens uit hoe McAfee het mogelijk zou kunnen maken, voor een aanvaller die al toegang tot een computer heeft, om code met systeemrechtem op een UNIX syteem uit te voeren?
23-01-2022, 22:23 door Anoniem
Een OS of software is maar net zo goed als de ontwerper/programmeur/onderhouder/gebruiker.

Scheid toch eens uit met dat ge-evangelie over welk OS beter is, wie er de meeste kent, het openst gesourced is of het allerbeste is volgens jouw unieke en daarmee allerbeste mening ooit.

Vandaag weer AV op windows, morgen weer een ouwe pinautomaat op Warp OS, dan weer een android TV, of een fortiOS met iets te veel of te weinig code...
Allemaal super interessant voor toetsenbord-ridders zoals ikzelf.

Maar als je al je data/verwerkers in kaart brengt, en je afhankelijkheid ervan en op welke manier dat zit, dan backup je alles vrij gemakkelijk op de juiste wijze (dus soms helemaal niet) en als alles dan stuk of kwijt of overal is, ben je binnen-waar-je-tegen-kunt weer online, en publiceren ze maar een eind heen met je gelekte data.
Je communicatieplan en je recovery-plan heb je uitgeprint klaarliggen op een paar plekjes na diverse testen, en die revise je elk jaar door iemand anders. ...
Laat ze maar komen dan, slaapt een stuk rustiger.
23-01-2022, 22:45 door Anoniem
Ransomware heeft vaak toch gebruikers nodig voor initiële access. En aangezien windows dominant is, is het niet zo gek dat dit platform getarget wordt. Hilarisch dat deze discussies nog gevoerd worden. Ransom gaat over geld. Als iedereen Linux draait, dan gaat de aandacht daarheen. Zo simpel is het.
24-01-2022, 09:15 door Anoniem
Door walmare:
Door karma4:
Door Anoniem: Zo iets kan alleen onder windows. Leve de antivirussoftware
Whoehha ik lig ine een deuk.
Met alle hard coded users/passwords is dant andere OS zo lek dat je met deze zaken nog niets hebt aan veiligheid.
In een deuk? terwijl afgerond alle ransomware incidenten zich afspelen op jouw favoriete windows. https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf Je bent een producent van nepinfo. Waarom?
Als je nu een punt had zou dat welkom zijn, maar nu gedraag je je als een wappie.

Herkansing. Leg eens uit hoe McAfee het mogelijk zou kunnen maken, voor een aanvaller die al toegang tot een computer heeft, om code met systeemrechtem op een UNIX syteem uit te voeren?
Misschen veel simpeler dan je denkt. Wanneer een agent (of demon) een configuratiefile gebruikt, die toegankelijk is. Dan kan ik de informatie aanpassen en dus acties triggeren, waarmee ik een bestaande "gewone" gebruiker rootrechten geeft? Zomaar iets wat zonder in de materie te duiken in mij opkomt.
24-01-2022, 13:12 door Anoniem
Door Anoniem:
Door walmare:
Door karma4:
Door Anoniem: Zo iets kan alleen onder windows. Leve de antivirussoftware
Whoehha ik lig ine een deuk.
Met alle hard coded users/passwords is dant andere OS zo lek dat je met deze zaken nog niets hebt aan veiligheid.
In een deuk? terwijl afgerond alle ransomware incidenten zich afspelen op jouw favoriete windows. https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf Je bent een producent van nepinfo. Waarom?
Als je nu een punt had zou dat welkom zijn, maar nu gedraag je je als een wappie.

Herkansing. Leg eens uit hoe McAfee het mogelijk zou kunnen maken, voor een aanvaller die al toegang tot een computer heeft, om code met systeemrechtem op een UNIX syteem uit te voeren?
Misschen veel simpeler dan je denkt. Wanneer een agent (of demon) een configuratiefile gebruikt, die toegankelijk is. Dan kan ik de informatie aanpassen en dus acties triggeren, waarmee ik een bestaande "gewone" gebruiker rootrechten geeft? Zomaar iets wat zonder in de materie te duiken in mij opkomt.
Zo simpel is het niet. Onder Linux draaien agents niet met root rechten zoals McAfee
25-01-2022, 11:38 door Joep Lunaar
Door Anoniem: ...
Misschen veel simpeler dan je denkt. Wanneer een agent (of demon) een configuratiefile gebruikt, die toegankelijk is. Dan kan ik de informatie aanpassen en dus acties triggeren, waarmee ik een bestaande "gewone" gebruiker rootrechten geeft? Zomaar iets wat zonder in de materie te duiken in mij opkomt.

Big nit picks:
- de meeste configuratiebestanden zijn voor allen leesbaar, maar schrijfbaar slecht voor specifieke gerechtigden
(private) keys zijn meestal niet leesbaar voor "gewone" gebruikers.
- het is daemon
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.