GitHub Post – HackStory / McAfeePrivesc.md

GitHub Post – HackStory / McAfeePrivesc.md

DearBytesAlertsGitHub Post – HackStory / McAfeePrivesc.md

Wat is er aan de hand?

Op 1 februari is op GitHub een korte omschrijving gepubliceerd hoe het mogelijk is via de McAfee Agent hogere rechten te verkrijgen. Dit kan door misbruik te maken van lokaal opgeslagen wachtwoorden in het bestand “SiteList.xml”.

SiteList.xml maakt onderdeel uit van het auto-update mechanisme in onder andere VirusScan Enterprise. Het bestand bevat een lijst aan servers waaruit het systeem updates kan downloaden. Sommige organisaties maken daarbij gebruik van serverlocaties waar authenticatie voor nodig is. Het stuk laat zien hoe de wachtwoorden ten behoeve van die authenticatie in SiteList.xml kunnen worden gestolen.

In reactie laat McAfee weten dat dit geen kwetsbaarheid is maar standaard functionaliteit. Het dringend advies is om geen accounts met hoge rechten te gebruiken voor het update mechanisme.

Waarom is dit belangrijk?

Deze kwetsbaarheid maakt het in bepaalde situaties voor derden mogelijk om identiteiten te stelen. De wachtwoorden staan weliswaar versleuteld opgeslagen in SiteList.xml, maar de onversleutelde vorm kan via de gedemonstreerde opstelling worden verkregen.

Afhankelijk van de rechten die de gestolen identiteit in uw omgeving heeft, leidt dit tot een bepaald risico. Bovenstaande demonstratie gaat uit van beheerders rechten, maar dat hangt af van uw configuratie.

Het SiteList.xml bestand is niet alleen lokaal op een werkstation of server te verkrijgen, maar ook via een Agent Handler en de ePO Server zelf. Dit kunt u testen door naar uw ePO server te navigeren op poort 8083:

http://epo_server:8083/Software/Current/EPOAGENT3000/Install/0409/sitelist.xml

Op wie is dit van toepassing?

Deze kwetsbaarheid is alleen van toepassing op organisaties die in de ePO configuratie gebruik maken van Distributed Repositories inclusief authenticatie.

Een standaard ePO installatie bevat geen Distributed Repositories, alleen de Master Repository. De Master Repository is de update locatie in de ePO server zelf, waarvoor authenticatie niet nodig is en dus deze kwetsbaarheid niet geldt.

Distributed Repositories worden doorgaans gemaakt in netwerken verspreid over meerdere locaties om bandbreedte te sparen. Er zijn verschillende opties om een repository te maken:

  • UNC repository: een bestandspad op een server (bijv: \servershare)
  • HTTP repository: een webserver
  • FTP repository: een FTP server
  • SuperAgent repository: een McAfee Agent die zichzelf als updatelocatie activeert met ingebouwde functionaliteit
  • AgentHandlers: een beperkte ePO server die ook als updatelocatie dient

Vooral bij gebruik van UNC repositories is de kans groot dat de kwetsbaarheid op u van toepassing is, aangezien voor het benaderen van een dergelijke locatie altijd accountgegevens nodig zijn.

SuperAgent repositories en AgentHandlers hebben geen authenticatie nodig.

Wat kunt u doen?

DearBytes adviseert om voor Distributed Repositories gebruik te maken van SuperAgents of AgentHandlers. Meer informatie hierover kunt u vinden in de product documentatie van ePO en de McAfee Agent, verkrijgbaar met uw grantnumber op deze locatie: https://secure.mcafee.com/apps/downloads/my-products/login.aspx

Indien het in uw omgeving toch noodzakelijk is om andere repositories te gebruiken, dan volgen wij het advies van Intel Security om voor authenticatie gebruik te maken van service accounts met beperkte rechten die alleen voor dit doel bestaan. Zodat in geval van identiteitsdiefstal men geen toegang krijgt tot andere bronnen in het netwerk.

Indien u assistentie wenst om de configuratie op dit punt bij te werken, neem dan contact op met uw accountmanager.

Wat doet DearBytes Managed Services?

DearBytes maakt geen gebruik van repositories waar authenticatie voor nodig is. Het probleem is derhalve niet van toepassing op ePO omgevingen die ingericht zijn door onze managed service. In gevallen waar onze managed service het beheer heeft overgenomen van een bestaande omgeving, kan het zijn dat het probleem wel van toepassing is.

Wij zullen alle klanten individueel informeren over de stand van zaken en eventuele opvolgacties in hun omgeving.