Бизнес атакуют программы-вымогатели. Что важно о них знать?

Баг в приложении McAfee Agent позволял потенциальным злоумышленникам повышатьсвои привилегии до уровня System. Нотолько при условии локальной эксплуатации.

Привилегии как с кустаВысокоопасная уязвимостьв разработках McAfee Enterprise(теперь Trellix)позволяла киберзлоумышленникам повышать свои привилегии при атаках до высшегоуровня Systemи запускать произвольный код сэтими правами. Патчи, устраняющие проблему были выпущены 18 января 2022 г.Уязвимостьнепосредственно содержалась в McAfee Agent, клиентском компоненте McAfeee Policy Orchestrator — пакете, осуществляющем регулирование политикбезопасности и распространение сигнатур, обновлений и новых продуктов накорпоративные эндпойнты.

Проблему обнаружилэксперт CERT/CC УиллДорманн (Will Dormann). «McAfee Agent, распространяемый с большим количеством разныхпродуктов McAfee, в том числе McAfee Endpoint Security, включает компонент OpenSSL, который задает переменную OPENSSLDIR в качестве субкаталога, доступного длянепривилегированных пользователей Windows, — пояснил Дорманн.

— McAfee Agent также содержит привилегированную службу, котораяиспользует этот компонент. Пользователь, который имеет возможность поместить внужный каталог специально подготовленный файл openssl.cnf, в итоге получает способ запуска произвольногокода с привилегиями SYSTEM».Очередная уязвимость в разработках McAfee допускала запуск произвольного кодаЭто высший уровеньпривилегий, открывающий потенциальному злоумышленнику возможности длясовершения любых действий в системе.

В случае успешной эксплуатации бага ухакеров появлялась возможность запускать любые вредоносные программы и избегатьобнаружения антивирусными средствами.Только локально. Или нет?Уязвимость получилаиндекс CVE-2022-0166.Индекс угрозы —