Loading...

Knowledge Center


GitHub 投稿 への McAfee 対応 - HackStory / McAfeePrivesc.md - 2016年2月1日
Technical Articles ID:   KB86503
Last Modified:  2017/10/02
Rated:


Environment

McAfee Agent 5.x, 4.x
McAfee ePolicy Orchestrator 5.x
McAfee VirusScan Enterprise 8.8

Summary

VirusScan Enterprise 8.8 に対して脆弱性が発見され、McAfee に通知することなく公開されました。
 
この投稿の作者によると、攻撃者は低い権限アカウントを使用して、連続するシステム上の VSE ファイルを操作できます。このシナリオでは、これらのシステムの 2 番目のシステムでは、攻撃者は、Active Directory ドメインコントローラで許可されていない権限の昇格を取得するために、昇格された権限を持っている必要があります。この悪用により、攻撃者はドメイン内のすべてのワークステーションにアクセスできます。
 
影響を受けるコンポーネント:
SiteList.xml

元の脆弱性の主張に関する追加情報については、以下を参照してください。
 
CWE-16: 設定
 
CWE-269: CWE-269:不適切な権限管理

Cause

この問題は、UNC 共有やその他の更新サイトから McAfee 製品の更新プログラムを取得するために使用されるアカウントに十分すぎる特権が与えられた場合にのみ存在します。

Solution

これは、 McAfee 製品のセキュリティ上の欠陥ではありません。この脆弱性は、Active Directory ドメインコントローラが適切に保護されていない場合にのみ発生します。

共有に対して読み取り専用のアクセス許可を持つサービスアカウントを使用し、ユーザーの更新を容易にするためにドメイン管理者アカウントを使用しないことを強くお勧めします。
 
推奨される方法:
KB70999(ePolicy Orchestrator で UNC 共有をソフトウェアリポジトリとして使用する場合のダウンロード資格情報の推奨事項)では、世界中のすべての展開で静的キーを使用しています。これは古い (McAfee Agent 4.5.x – 4.8.x) エージェント間の通信キーで従来のサイズ (1024 ビット) を使用する場合にのみ該当します。新しいバージョンのエージェントからサーバーへの通信を使用する環境では、2048 ビットのキーと異なる暗号化アルゴリズムが使用されます。

ベストプラクティスは、リポジトリコンテンツの読み取りに必要な資格情報を持たない HTTP リポジトリまたは SuperAgent を使用することです。このシナリオでは、HTTP リポジトリを作成するために必要な UNC 資格情報は、Sitelist.xml ファイルには表示されません。


[Disclaimer]
本KBは機械翻訳システムによって翻訳されており、翻訳内容に誤りがある場合があります。
英語版KBと日本語版KBの解釈に相違がある場合、英語版KBの内容が優先されます。当日本語KBはリファレンスとしてご参照ください。

Rate this document

Did this article resolve your issue?

Please provide any comments below

Languages:

This article is available in the following languages:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.