Trellix-Agent ermöglicht Rechteausweitung am System
Der Agent von Trellix – dem Zusammenschluss von McAfee und FireEye – ermöglicht Angreifern, ihre Rechte im System auszuweiten. Ein Update schließt die Lücke.
Im Trellix-Agent haben die Entwickler zwei Sicherheitslücken geschlossen. Sie ermöglichten Angreifern das Ausweiten ihrer Rechte sowie einen Denial-of-Service gegen die Software.
Trellix ging Anfang vergangenen Jahres aus dem Zusammenschluss der IT-Sicherheitsfirmen McAfee und FireEye hervor, die von der Symphony Technology Group (STG) aufgekauft wurden. Die Sicherheitssoftware basiert daher auf den bekannten Produkten der vorherigen Marken.
Trellix Agent: Zwei Schwachstellen gestopft
Die eine der zwei Sicherheitslücken basiert auf ungenügenden Rechtezuweisungen beim Installations- oder Update-Prozess des Agents für Windows in Version 5.7.8 und älteren. Lokale Nutzer könnten dadurch eine ausführbare Datei des Agents durch eigene Software ersetzen und so ihre Rechte ausweiten (CVE-2023-0975, CVSS 8.2, Risiko "hoch").
Im Trellix Agent für Linux und Window 5.7.8 oder älter könnten Angreifer aus dem Netz einen Heap-basierten Pufferüberlauf provozieren. Dieser mündet jedoch lediglich in einem Denial-of-Service, der Dienst reagiert dann nicht mehr (CVE-2023-0977, CVSS 6.7, mittel).
Die aktualisierte und fehlerbereinigte Version 5.7.9 oder neuere des Agents steht auf der Download-Seite des Herstellers zum Download bereit. IT-Verantwortliche benötigen dafür ihre Zugangsdaten. Die Aktualisierung sollten sie zügig vornehmen. Die Sicherheitsmeldung von Trellix erläutert unter anderem, wie sie die aktuell eingesetzte Version finden.
Mitte vergangenen Jahres war der McAfee-Agent von einer ähnlichen Schwachstelle betroffen. Da gelang die Rechteausweitung jedoch über eine sogenannte DLL-Hijacking-Lücke. Auch die Versionsnummer deutet auf die Verwandtschaft: McAfee Agent 5.7.7 hatte die Lücke gestopft.
(dmk)