Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

JustMe2

McAfee Network Associates ePolicy Orchestrator Age

Messages recommandés

McAfee Network Associates ePolicy Orchestrator Agent Privilege Escalation

 

Summary

"McAfee Security ePolicy Orchestrator is an enterprise antivirus management tool. ePolicy Orchestrator is a policy driven deployment and reporting tool for enterprise administrators to effectively manage their desktop and server antivirus products."

 

ePolicy Orchestrator Agent allows users to obtain files of other users without using the file permission.

 

Credit:

The information has been provided by Reed Arvin.

 

Details

Vulnerable Systems:

* Network Associates ePolicy Orchestrator Agent version 3.5.0 (patch 3)

 

The ePolicy Orchestrator Agent web server (which runs on TCP port 8081 by default and serves the McAfee Agent Activity Log) can be used to view files that exist on the same partition with LocalSystem level privileges.

 

On a default windows installation the "C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db" folder (which is created by the EPO agent and is the folder that serves as the web root for the McAfee Agent Activity Log) includes the NTFS permission Everyone/Full Control.

 

By using the Junction tool (from SysInternals) available at http://www.sysinternals.com/utilities/junction.html one can create a sub folder in the EPO agent web root directory (as any user) that will allow any file on the same partition to be viewed with LocalSystem level privileges.

 

Example:

1. Logon to a machine running the EPO agent as any user.

2. Using the Junction tool type the following command:

junction "C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\Test" C:\

This creates the equivalent of a virtual folder in the web server root named Test that points to C:\

 

3. Use Internet Explorer to view a restricted file such as:

http://127.0.0.1:8081/Test/WINDOWS/repair/sam

 

The contents of the restricted file will be displayed thanks to the LocalSystem account.

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×