Exploit: McAfee ePolicy 0wner

Oprogramowanie firmy McAfee już od dłuższego czasu wzbudza wśród użytkowników wiele kontrowersji. Szczególne emocje wyzwalają przede wszystkim preinstalowane wersje antywirusa McAfee, któremu wyjątkowo trudno jest się rozstać z macierzystym systemem operacyjnym. Dziś natomiast, na przykładzie scentralizowanego rozwiązania ochronnego McAfee ePolicy Orchestrator zobaczymy, czym grożą luki w centralnym systemie antywirusowym.

Przedstawiony poniżej problem dotyczy podatności w McAfee ePolicy Orchestrator version 4.6.5 i wcześniejszych:

• CVE-2013-0140 – Pre-authenticated SQL injection,
• CVE-2013-0141 – Pre-authenticated directory path traversal.

Spójrzmy, w jaki sposób exploit ePowner jest w stanie to wykorzystać.

Możliwe jest więc m.in.:

• zdalne wykonanie dowolnych komend na serwerze McAfee ePolicy Orchestrator,
• zdalne wykonanie dowolnych komend na stacjach zarządzanych przez McAfee ePolicy Orchestrator,
• wykradanie poświadczeń domenowych.

Wniosek? Pamiętajmy zawsze, że wszelkie oprogramowanie ochronne samo w sobie również może stać się celem ataku i zwiększa tzw. powierzchnię ataku, a ze względu na swą specyfikę centralne rozwiązania antywirusowe stanowią szczególnie interesujący cel…