Programy McAfee z poważną luką: możliwe było ładowanie szkodliwych bibliotek

Strona głównaProgramy McAfee z poważną luką: możliwe było ładowanie szkodliwych bibliotek
14.11.2019 13:27
Programy McAfee z poważną luką: możliwe było ładowanie szkodliwych bibliotek
Programy McAfee z poważną luką: możliwe było ładowanie szkodliwych bibliotek

Programy zabezpieczające McAfee miały poważną lukę. Starsze wersje narażają system Windows na atak, wykorzystujący możliwość wykonania szkodliwego kodu.

bEICTJat

Podatne na atak są programy McAfee Total Protection, McAfee Anti-Virus Plus i McAfee Internet Security. Luka została załatana w wersji 16.0.R22 Refresh 1, wydanej 8 listopada. Zalecamy jak najszybszą aktualizację, jeśli korzystasz z programów McAfee.

McAfee ładował DLL bez sprawdzenia

Luka bezpieczeństwa została odkryta przez SafeBreach Labs i oznaczona jako CVE-2019-3648. Można ją wykorzystać, by obejść własne zabezpieczenia programów McAfee. To otwiera drogę do innych programów i systemu operacyjnego, gdzie można przeprowadzić dalsze etapy ataku.

Luka została znaleziona w samoobronie programu antywirusowego. To zestaw funkcji, które zapobiegają wyłączeniu ochrony i modyfikacji programu przez malware. Programy antywirusowe McAfee ładowały biblioteki DLL bez kontroli podpisu cyfrowego. Przy tym błąd w ścieżkach dostępu do bibliotek sprawił, że przy ładowaniu biblioteki wbemprox.dll program szukał biblioteki wbemcomn.dll poza jej domyślnym miejscem w folderze System32. To pozwalało załadować niepodpisaną, szkodliwą bibliotekę z uprawnieniami podniesionymi do AUTHORITY\SYSTEM.

bEICTJav

By wykorzystać ten wektor ataku, cyberprzestępcy musieliby mieć dostęp do konta administratora systemu. W odpowiednich warunkach jednak mogli w ten sposób uruchomić szkodliwe programy w kontekście programu antywirusowego McAfee. Możliwe jest nawet dodanie wyjątku do mechanizmów ochronnych, by ignorowały konkretne zagrożenia.

Specjaliści podali przykłady zastosowania tego ataku w różnych scenariuszach. Nie ma jednak dowodów na to, że luka była wykorzystywana w realnych atakach.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bEICTJbr