McAfee (désormais Trellix) a corrigé une vulnérabilité de haute gravité, connue sous le nom de CVE-2022-0166, qui réside dans le logiciel McAfee Agent pour Windows. Un attaquant peut exploiter cette faille afin d'élever ses privilèges et d'exécuter du code arbitraire avec les privilèges du système.

Le McAfee Agent est le composant distribué de McAfee ePolicy Orchestrator (McAfee ePO). Il télécharge et applique les stratégies, et exécute des tâches côté client telles que le déploiement et la mise à jour. L'agent télécharge également des événements et fournit des données supplémentaires concernant l'état de chaque système. Il doit être installé sur chaque système de votre réseau que vous souhaitez gérer.

La faille CVE-2022-0166 affecte les versions d'Agent antérieures à 5.7.5 et permet aux attaquants non privilégiés d'exécuter du code en utilisant les privilèges du compte NT AUTHORITYSYSTEM.

Cette vulnérabilité d’escalade des privilèges dans McAfee Agent utilise openssl.cnf pendant le processus de construction pour spécifier la variable OPENSSLDIR comme sous-répertoire dans le répertoire d'installation. Un utilisateur à faibles privilèges aurait pu créer des sous-répertoires et exécuter du code arbitraire avec les privilèges SYSTEM en créant le chemin d'accès approprié vers le fichier openssl.cnf malveillant spécifiquement créé.

La société de sécurité a corrigé la vulnérabilité avec la publication de McAfee Agent 5.7.5 le 18 janvier.

La vulnérabilité n'est exploitable que localement, mais les experts préviennent que ce problème pourrait être enchaîné avec d'autres problèmes pour compromettre le système cible et élever les permissions afin de mener des activités malveillantes supplémentaires.

McAfee a également corrigé une vulnérabilité d'injection de commande, repérée sous le nom de CVE-2021-31854, dans le logiciel Agent for Windows antérieur à la version 5.7.5. Un attaquant pouvait exploiter cette vulnérabilité pour injecter un code shell arbitraire dans le fichier cleanup.exe.