У McAfee Total Protection, Anti-Virus Plus та Internet Security виявлена ​​критична вразливість

Дослідники безпеки з компанії SafeBreach Labs виявили критичну вразливість (CVE-2019-3648) в антивірусному ПЗ McAfee, експлуатація якої дозволяє зловмиснику віддалено виконувати код.

Вразливість пов'язана з тим, що DLL-бібліотеки, що завантажуються, не перевіряються на наявність підписів і завантажуються з робочого каталогу, а не з фактичного розташування в папці System32. Таким чином, довільні та непідписані DLL-бібліотеки можуть бути завантажені в кілька служб, запущених з правами AUTHORITY\SYSTEM.

Для експлуатації вразливості зловмиснику необхідно мати права адміністратора. Оскільки деякі частини програмного забезпечення працюють як служби Windows із системними правами, можливе виконання довільного коду в контексті служб McAfee.

За словами фахівців, існує три основні способи використання вразливості у ланцюжку атак. Експлуатація проблеми дозволяє зловмисникам завантажувати та виконувати шкідливі корисні навантаження, використовуючи кілька підписаних служб у контексті програмного забезпечення McAfee, обходити «білий» список програм та уникати виявлення захисним програмним забезпеченням.

«Антивірус може не виявити шкідливий двійковий файл, тому що він намагається завантажити його без будь-якої перевірки», - кажуть дослідники.

Як зазначають дослідники, злочинець може налаштувати шкідливий код на перезавантаження при кожному запуску служби для збереження персистентності на системі.

Проблема стосується версій McAfee Total Protection (MTP), Anti-Virus Plus (AVP) та Internet Security (MIS) до 16.0.R22 включно. McAfee випустила версію антивірусного ПЗ Version 16.0.R22 Refresh 1, що виправляє цю вразливість.

Інші новини