SafeBreach-specialister opdagede en farlig fejl i McAfee-antivirusprodukter. Sårbarheden CVE-2019-3648 påvirker McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP), og McAfee Internet Security (HVAD) sikkerhedsløsninger.
Årsagen til problemet er, at McAfee-produkter forsøger at indlæse DLL-filen (wbemcomn.dll) ved hjælp af den forkerte filsti.
”I vores udforskning, vi fandt ud af, at flere tjenester af McAfee-softwaren, der kører som signerede processer og som NT AUTHORITY SYSTEM forsøger at indlæse c:\Windows System32 wbem wbemcomn.dll, som ikke kan findes (da det faktisk er placeret i System32 og ikke i System32 Wbem-mappen)”, – skrive SafeBreach-specialister.
Som resultat, angriberen får mulighed for at oprette sin egen ondsindede version af wbemcomn.dll, placer det i et bibliotek, hvor antivirusprogrammet forsøger at opdage filen, hvilket i sidste ende vil føre til download af filen og dens lancering uden nogen kontrol.
Læs også: Navngivne tre amerikanske antivirus producenter, hacket af Fxmsp band
At udnytte sårbarheden, angriberen har brug for administratorrettigheder. Hvis denne betingelse er opfyldt, bug tillader omgå beskyttelsesmekanismerne for McAfee antivirusprodukter og indlæse usignerede DLL'er i forskellige tjenester, der arbejder med NT AUTHORITY SYSTEM rettigheder.
”Vi mistænkte, at en sårbarhed kunne udnyttes, hvis vi kunne indlæse en vilkårlig usigneret DLL i disse processer. Dette ville gøre det muligt for os at omgå selvforsvarsmekanismen i antivirussoftwaren, primært fordi mapperne i McAfee-softwaren er beskyttet af en mini-filter filsystemdriver, hvilket begrænser skrivehandlinger selv af en administrator ”, – forklare forskere i SafeBreach.
Denne evne kan misbruges af en angriber til forskellige formål såsom henrettelse og unddragelse, For eksempel: Applikation Hvidliste Bypass.
Det vil også give angriberen en stabil tilstedeværelse i systemet, fordi ondsindet kode fra DLL'en vil blive udført med hver genstart af tjenesterne.
Forskere fortalte McAfee-specialister om problemet tilbage i august i år, og nu sårbarheden er allerede rettet. Brugere af sårbare produkter rådes til at opgradere til version 16.0.R22 Opdater 1.
