especialistas SafeBreach descubrieron un error peligroso de los productos antivirus de McAfee. La vulnerabilidad CVE-2019-3648 afecta a McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP), y McAfee Internet Security (¿QUÉ) Las soluciones de seguridad.
La causa del problema es que los productos de McAfee están tratando de cargar el archivo DLL (wbemcomn.dll) utilizando la ruta de archivo incorrecto.
“En nuestra exploración, encontramos que los múltiples servicios del software de McAfee, que se ejecutan como procesos firmados y como NT AUTHORITY SYSTEM intenta cargar c:\Windows System32 WBEM wbemcomn.dll, que no puede ser encontrado (ya que se encuentra realmente en System32 y no en la carpeta System32 Wbem)”, – escribir especialistas SafeBreach.
Como resultado, el atacante tiene la oportunidad de crear su propia versión maliciosa de wbemcomn.dll, colocarlo en un directorio en el que el antivirus está tratando de detectar el archivo, que en última instancia conducir a la descarga de archivos y su lanzamiento sin ninguna verificación.
leer también: Nombrados tres productores estadounidenses antivirus, hackeado por banda Fxmsp
Para explotar la vulnerabilidad, atacante necesitará derechos de administrador. Si se ha cumplido esta condición, el fallo permite pasar por los mecanismos de protección de los productos antivirus de McAfee y cargar archivos DLL sin firmar en diversos servicios que trabajan con los derechos NT Authority System.
“Sospechamos que una vulnerabilidad podría ser explotada si podíamos cargar un archivo DLL sin signo arbitrario en estos procesos. Esto nos permitiría pasar por alto el mecanismo de autodefensa del software antivirus, principalmente debido a las carpetas del software de McAfee están protegidos por un controlador de sistema de archivos minifiltro, que restringe las operaciones de escritura, incluso por un administrador”, – explicar investigadores SafeBreach.
Esta capacidad podría ser objeto de abuso por un atacante para diferentes propósitos, tales como la ejecución y la evasión, Por ejemplo: Aplicación Whitelisting Bypass.
También proporcionará el atacante con una presencia estable en el sistema de, porque el código malicioso de la DLL que será ejecutado con cada reinicio de los servicios.
Los investigadores de McAfee dijo a los especialistas sobre la parte trasera problema en agosto de este año, y por ahora la vulnerabilidad Ya se ha fijado. Se aconseja a los usuarios de los productos vulnerables a actualizar a la versión de actualización 16.0.R22 1.
