CVE-2021-23874

Суть уязвимости

Локальный злоумышленник с низкими привилегиями может выполнить специально созданный исполняемый файл, который использует уязвимость в механизме управления правами McAfee Total Protection (MTP). Это позволяет: * Повысить свои привилегии до уровня SYSTEM/root. * Выполнить произвольный код. * Обойти встроенные механизмы самозащиты (self-defense) продукта MTP.

Как исправить

Установите обновление безопасности от McAfee, которое устраняет данную уязвимость.

1. Для Windows:

   • Обновите McAfee Total Protection до версии 16.0.34 или выше.
   • Обновление должно установиться автоматически через McAfee ePolicy Orchestrator (ePO) или механизм обновления VirusScan Enterprise (VSE). Вручную можно запустить проверку обновлений в интерфейсе агента McAfee.

2. Для macOS:

   • Обновите McAfee Endpoint Security для Mac до версии 10.7.1 или выше.

Проверка текущей версии (Windows PowerShell):

Get-WmiObject -Namespace "root\SecurityCenter2" -Class "AntiVirusProduct" | Select displayName, versionNumber

В выводе найдите продукт McAfee и убедитесь, что версия соответствует или выше указанных.

Временное решение

Если немедленное обновление невозможно, ограничьте локальный доступ пользователей к системе.

1. Принцип минимальных привилегий: Убедитесь, что все пользователи работают с учетными записями, не имеющими прав локального администратора.
2. Контроль учетных записей (UAC): На Windows убедитесь, что UAC включен и настроен на максимальный уровень уведомлений (по умолчанию).
3. Аудит и мониторинг: Включите аудит успешных и неуспешных попыток входа в систему и мониторинг создания процессов от имени SYSTEM. Используйте SIEM для анализа событий.
   • Пример мониторинга (Windows Event ID): 4688 (создание процесса), 4703 (вызов привилегии), особенно с повышенными правами.
4. Сетевая сегментация: Ограничьте доступ к управляющим серверам (например, ePO) только с доверенных подсетей.