SafeBreach 전문가는 맥아피의 안티 바이러스 제품에서 위험한 버그를 발견. 취약점 CVE-2019-3648 맥아피 토털 프로텍션에 영향을 미치는 (MTP), 맥아피 안티 바이러스 플러스 (AVP), 맥아피 인터넷 보안 (무엇) 보안 솔루션.
문제의 원인은 McAfee 제품은 DLL 파일을로드하려고하는 것입니다 (wbemcomn.dll) 잘못된 파일 경로를 사용하여.
"우리의 탐사에서, 서명된 프로세스 및 NT AUTHORITY SYSTEM으로 실행되는 McAfee 소프트웨어의 여러 서비스가 c:\WindowsSystem32wbemwbemcomn.dll, 찾을 수 없는 것 (실제로 System32Wbem 폴더가 아닌 System32에 있기 때문에)", – 쓰다 SafeBreach 전문가.
결과, 공격자는 자신의 악성 버전을 만들 기회를 얻습니다. wbemcomn.dll, 바이러스 백신이 파일을 감지하려고 시도하는 디렉토리에 저장하십시오., 이는 궁극적으로 검사 없이 파일 다운로드 및 실행으로 이어질 것입니다..
또한 읽기: 명명 된 세 미국의 백신 생산, Fxmsp 밴드에 의해 해킹
취약점을 악용하려면, 공격자는 관리자 권한이 필요합니다. 이 조건이 충족되면, 이 버그를 사용하면 McAfee 안티바이러스 제품의 보호 메커니즘을 우회하고 서명되지 않은 DLL을 NT AUTHORITYSYSTEM 권한으로 작동하는 다양한 서비스에 로드할 수 있습니다..
"우리는 임의의 서명되지 않은 DLL을 이러한 프로세스에 로드할 수 있는 경우 취약점이 악용될 수 있다고 의심했습니다.. 이렇게 하면 바이러스 백신 소프트웨어의 자기 방어 메커니즘을 우회할 수 있습니다., 주로 McAfee 소프트웨어의 폴더가 미니 필터 파일 시스템 드라이버로 보호되기 때문입니다., 관리자라도 쓰기 작업을 제한하는 것", – SafeBreach 연구원 설명.
이 능력은 실행 및 회피와 같은 다른 목적을 위해 공격자가 남용할 수 있습니다., 예를 들면: 애플리케이션 화이트리스트 우회.
또한 공격자에게 시스템에서 안정적인 존재를 제공합니다., DLL의 악성 코드는 서비스를 다시 시작할 때마다 실행되기 때문입니다..
연구원들은 올해 8월에 McAfee 전문가들에게 문제에 대해 말했습니다., 그리고 지금까지 취약점 이미 수정되었습니다. 취약한 제품의 사용자는 버전 16.0.R22 Refresh로 업그레이드하는 것이 좋습니다. 1.
