Security Bulletin - McAfee Agent update fixes an improper access control vulnerability (CVE-2020-7253)
Security Bulletins ID:
SB10312
Last Modified: 2022-05-04 16:52:50 Etc/GMT
Last Modified: 2022-05-04 16:52:50 Etc/GMT
Summary
First Published: March 10, 2020
Article contents: Vulnerability Description
CVE-2020-7253
Improper access control vulnerability in masvc.exe in McAfee Agent (MA) prior to 5.6.4 allows local users with administrator privileges to disable self-protection via a McAfee supplied command-line utility.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7253
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7253
Remediation
To remediate this issue:
Download and Installation Instructions
For instructions to download product updates and hotfixes, see KB56057 - How to download Enterprise product updates and documentation. Review the Release Notes and Installation Guide for instructions on how to install these updates. All documentation is available at our Product Documentation site.
Frequently Asked Questions (FAQs)
How do I know if my product is vulnerable?
For Endpoint products:
Use the following instructions for endpoint or client-based products:
Use the following instructions for endpoint or client-based products:
What is CVSS?
CVSS, or Common Vulnerability Scoring System, is the result of the National Infrastructure Advisory Council's effort to standardize a system of assessing the criticality of a vulnerability. This system offers an unbiased criticality score between 0 and 10 that customers can use to judge how critical a vulnerability is and plan accordingly. For more information, visit the CVSS website.
When calculating CVSS scores, we've adopted a philosophy that fosters consistency and repeatability. Our guiding principle for CVSS scoring is to score the exploit under consideration by itself. We consider only the immediate and direct impact of the exploit under consideration. We do not factor into a score any potential follow-on exploits that might be made possible by the successful exploitation of the issue being scored.
What are the CVSS scoring metrics?
CVE-2020-7253 - Improper access control vulnerability in McAfee Agent
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C&version=3.1
Onde posso encontrar uma lista de todos os boletins de segurança?
Todos os boletins de segurança são publicados em nosso centro de conhecimento. Os boletins de segurança são descartados (removidos) quando um produto é o fim das vendas e o fim do suporte (fim da vida útil).
Como posso relatar uma vulnerabilidade do produto para você?
Se você tiver informações sobre um problema de segurança ou vulnerabilidade com um produto, siga as instruções fornecidas em KB95563-relatar uma vulnerabilidade.
Como você responde a essa e a qualquer outra falha de segurança relatada?
Nossa principal prioridade é a segurança de nossos clientes. Se uma vulnerabilidade for encontrada em qualquer um de nossos softwares ou serviços, trabalhamos em conjunto com a equipe de desenvolvimento de software de segurança relevante para garantir o desenvolvimento rápido e eficaz de um plano de correção e comunicação.
Apenas publicamos boletins de segurança se eles incluírem algo que pode ser acionável, como solução de problema, mitigação, atualização de versão ou hotfix. Caso contrário, iremos simplesmente estar informando a comunidade hacker de que nossos produtos são um alvo, colocando nossos clientes em risco maior. Para os produtos que são atualizados automaticamente, um boletim de segurança não acionável pode ser publicado para reconhecer o descobertor.
Para exibir nossa política de PSIRT, consulte KB95564-about PSIRT.
Resources
Disclaimer
As informações fornecidas neste boletim de segurança são fornecidas como estão sem garantia de nenhum tipo. Nós pedimos todas as garantias, sejam elas explícitas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em hipótese alguma, nós ou nossos fornecedores serão responsáveis por quaisquer danos, incluindo os lucros diretos, indiretos, INCIDENTAIS, de perda de negócios ou danos especiais, mesmo que nós ou nossos fornecedores tenham sido avisados da possibilidade de tais danos. Alguns Estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação precedente pode não se aplicar.
Qualquer data de lançamento futura do produto mencionada neste boletim de segurança tem o objetivo de descrever nossa direção geral de produto e eles não deveriam ser confiáveis para a realização de uma decisão de compra. As datas de lançamento de produtos são apenas para fins informativos e podem não ser incorporadas a nenhum contrato. As datas de lançamento do produto não são um compromisso, promessa ou obrigação legal para fornecer material, código ou funcionalidade. O desenvolvimento, a versão e a temporização de quaisquer recursos ou funcionalidades descritas para nossos produtos permanecem a nosso critério exclusivo e podem ser alterados ou cancelados a qualquer momento.
Impact of Vulnerability: | Improper Access Control (CWE-284) |
CVE ID: | CVE-2020-7253 |
Severity Rating: | Medium |
CVSS v3 Base/Temporal Scores: | 5.7 / 5.1 |
Recommendations: | Install or update to McAfee Agent 5.5.4 or 5.6.4 |
Security Bulletin Replacement: | None |
Affected Software: | McAfee Agent:
|
Location of updated software: | Product Downloads site |
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Article contents: Vulnerability Description
CVE-2020-7253
Improper access control vulnerability in masvc.exe in McAfee Agent (MA) prior to 5.6.4 allows local users with administrator privileges to disable self-protection via a McAfee supplied command-line utility.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7253
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7253
Remediation
To remediate this issue:
- Users of any McAfee Agent 5.6.x version should upgrade to McAfee Agent 5.6.4.
- Users of any McAfee Agent 5.5.0 and 5.5.1 versions should upgrade to McAfee Agent 5.5.4 or 5.6.4.
Product | Version | Type | File Name | Release Date |
McAfee Agent | 5.6.4 | Update | MAWIN564.zip | March 10, 2020 |
McAfee Agent | 5.5.4 | Update | MAWIN554.zip | March 10, 2020 |
Download and Installation Instructions
For instructions to download product updates and hotfixes, see KB56057 - How to download Enterprise product updates and documentation. Review the Release Notes and Installation Guide for instructions on how to install these updates. All documentation is available at our Product Documentation site.
Frequently Asked Questions (FAQs)
How do I know if my product is vulnerable?
For Endpoint products:
Use the following instructions for endpoint or client-based products:
- Right-click on the McAfee tray shield icon on the Windows taskbar.
- Select Open Console.
- In the console, select Action Menu.
- In the Action Menu, select Product Details. The product version displays.
Use the following instructions for endpoint or client-based products:
- Open the terminal.
- Enter the following command:
C:\Program Files\McAfee\Agent\cmdagent -i
What is CVSS?
CVSS, or Common Vulnerability Scoring System, is the result of the National Infrastructure Advisory Council's effort to standardize a system of assessing the criticality of a vulnerability. This system offers an unbiased criticality score between 0 and 10 that customers can use to judge how critical a vulnerability is and plan accordingly. For more information, visit the CVSS website.
When calculating CVSS scores, we've adopted a philosophy that fosters consistency and repeatability. Our guiding principle for CVSS scoring is to score the exploit under consideration by itself. We consider only the immediate and direct impact of the exploit under consideration. We do not factor into a score any potential follow-on exploits that might be made possible by the successful exploitation of the issue being scored.
What are the CVSS scoring metrics?
CVE-2020-7253 - Improper access control vulnerability in McAfee Agent
Base Score | 5.7 |
Attack Vector (AV) | Local (L) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | High (H) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | None (N) |
Integrity (I) | High (H) |
Availability (A) | High (H) |
Temporal Score (Overall) | 5.1 |
Exploitability (E) | Proof-of-Concept (P) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C&version=3.1
Onde posso encontrar uma lista de todos os boletins de segurança?
Todos os boletins de segurança são publicados em nosso centro de conhecimento. Os boletins de segurança são descartados (removidos) quando um produto é o fim das vendas e o fim do suporte (fim da vida útil).
Como posso relatar uma vulnerabilidade do produto para você?
Se você tiver informações sobre um problema de segurança ou vulnerabilidade com um produto, siga as instruções fornecidas em KB95563-relatar uma vulnerabilidade.
Como você responde a essa e a qualquer outra falha de segurança relatada?
Nossa principal prioridade é a segurança de nossos clientes. Se uma vulnerabilidade for encontrada em qualquer um de nossos softwares ou serviços, trabalhamos em conjunto com a equipe de desenvolvimento de software de segurança relevante para garantir o desenvolvimento rápido e eficaz de um plano de correção e comunicação.
Apenas publicamos boletins de segurança se eles incluírem algo que pode ser acionável, como solução de problema, mitigação, atualização de versão ou hotfix. Caso contrário, iremos simplesmente estar informando a comunidade hacker de que nossos produtos são um alvo, colocando nossos clientes em risco maior. Para os produtos que são atualizados automaticamente, um boletim de segurança não acionável pode ser publicado para reconhecer o descobertor.
Para exibir nossa política de PSIRT, consulte KB95564-about PSIRT.
Resources
Para entrar em contato com o Suporte técnico, vá para a página criar uma solicitação de serviço e entre no ServicePortal.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Disclaimer
As informações fornecidas neste boletim de segurança são fornecidas como estão sem garantia de nenhum tipo. Nós pedimos todas as garantias, sejam elas explícitas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em hipótese alguma, nós ou nossos fornecedores serão responsáveis por quaisquer danos, incluindo os lucros diretos, indiretos, INCIDENTAIS, de perda de negócios ou danos especiais, mesmo que nós ou nossos fornecedores tenham sido avisados da possibilidade de tais danos. Alguns Estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação precedente pode não se aplicar.
Qualquer data de lançamento futura do produto mencionada neste boletim de segurança tem o objetivo de descrever nossa direção geral de produto e eles não deveriam ser confiáveis para a realização de uma decisão de compra. As datas de lançamento de produtos são apenas para fins informativos e podem não ser incorporadas a nenhum contrato. As datas de lançamento do produto não são um compromisso, promessa ou obrigação legal para fornecer material, código ou funcionalidade. O desenvolvimento, a versão e a temporização de quaisquer recursos ou funcionalidades descritas para nossos produtos permanecem a nosso critério exclusivo e podem ser alterados ou cancelados a qualquer momento.