У McAfee Total Protection, Anti-Virus Plus та Internet Security виявлено критичну вразливість
У McAfee Total Protection, Anti-Virus Plus та Internet Security виявлена критична вразливість
Дослідники безпеки з компанії SafeBreach Labs виявили критичну вразливість (CVE-2019-3648) в антивірусному ПЗ McAfee, експлуатація якої дозволяє зловмиснику віддалено виконувати код.
Вразливість пов'язана з тим, що DLL-бібліотеки, що завантажуються, не перевіряються на наявність підписів і завантажуються з робочого каталогу, а не з фактичного розташування в папці System32. Таким чином, довільні та непідписані DLL-бібліотеки можуть бути завантажені в кілька служб, запущених з правами AUTHORITY\SYSTEM.
Для експлуатації вразливості зловмиснику необхідно мати права адміністратора. Оскільки деякі частини програмного забезпечення працюють як служби Windows із системними правами, можливе виконання довільного коду в контексті служб McAfee.
За словами фахівців, існує три основні способи використання вразливості у ланцюжку атак. Експлуатація проблеми дозволяє зловмисникам завантажувати та виконувати шкідливі корисні навантаження, використовуючи кілька підписаних служб у контексті програмного забезпечення McAfee, обходити «білий» список програм та уникати виявлення захисним програмним забезпеченням.
«Антивірус може не виявити шкідливий двійковий файл, тому що він намагається завантажити його без будь-якої перевірки», - кажуть дослідники.
Як зазначають дослідники, злочинець може налаштувати шкідливий код на перезавантаження при кожному запуску служби для збереження персистентності на системі.
Проблема стосується версій McAfee Total Protection (MTP), Anti-Virus Plus (AVP) та Internet Security (MIS) до 16.0.R22 включно. McAfee випустила версію антивірусного ПЗ Version 16.0.R22 Refresh 1, що виправляє цю вразливість.