McAfee Security-as-a-Service (SaaS) mcCIOScn.dll ShowReport 方法远程代码执行

high Nessus 插件 ID 57713

简介

远程 Windows 主机具有可能被滥用来远程执行远程代码的 ActiveX 控件。

描述

据报告,远程 Windows 主机上作为 McAfee Security-as-a-Service (SaaS) / Total Protection Service 一部分安装的 myCIOScn.dll ActiveX 控件,在执行传递到其“ShowReport”方法的任意命令之前不需要认证。

如果攻击者能够诱骗受影响主机上的用户访问特别构建的网页,则可利用此问题以该用户的权限在该主机上执行任意代码。

解决方案

为受影响的控件设置 kill bit。

请注意,据报告 2011 年 8 月 McAfee 在修复相关问题的过程中,在 SaaS Endpoint Protection 5.2.2 中删除了用于控件的“Safe for Scripting”指定,这应该明显缓解了此问题的利用。此外,McAfee 还计划在未来的某个时间完全解决此问题,在其自动修补的过程中完全删除受影响的代码。

另见

https://www.zerodayinitiative.com/advisories/ZDI-12-012/

https://www.securityfocus.com/archive/1/521245/30/0/threaded

插件详情

严重性: High

ID: 57713

文件名: mcafee_mycioscn_activex_rce.nasl

版本: 1.7

类型: local

代理: windows

系列: Windows

发布时间: 2012/1/27

最近更新时间: 2018/11/15

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.7

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/a:mcafee:saas_endpoint_protection

必需的 KB 项: SMB/Registry/Enumerated

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/1/12

漏洞发布日期: 2012/1/12

可利用的方式

Metasploit (McAfee SaaS MyCioScan ShowReport Remote Command Execution)

参考资料信息

BID: 51397