especialistas SafeBreach descobriu um bug perigoso em produtos antivírus da McAfee. A vulnerabilidade CVE-2019-3648 afeta McAfee Total Protection (MTP), McAfee Anti-Virus plus (AVP), e McAfee Internet Security (O QUE) soluções de segurança.
A causa do problema é que os produtos da McAfee está tentando carregar o arquivo DLL (wbemcomn.dll) usando o caminho do arquivo errado.
“Em nossa exploração, descobrimos que vários serviços do software McAfee que são executados como processos assinados e como NT AUTHORITY SYSTEM tentar carregar c:\Windows System32 wbem wbemcomn.dll, que não pode ser encontrado (uma vez que é realmente localizado no System32 e não na pasta System32 Wbem)”, – escrever especialistas SafeBreach.
como um resultado, o atacante tem a oportunidade de criar a sua própria versão maliciosa de wbemcomn.dll, colocá-lo em um diretório onde o antivírus está tentando detectar o arquivo, o que acabará por levar ao download de arquivos e seu lançamento sem qualquer verificação.
Leia também: três produtores de antivírus americano chamado, cortado por banda Fxmsp
Para explorar a vulnerabilidade, atacante terá direitos de administrador. Se esta condição foi cumprida, o bug permite contornar os mecanismos de proteção de produtos antivírus da McAfee e carregar DLLs não assinados em vários serviços que trabalham com NT AUTHORITY SYSTEM direitos.
“Nós suspeitamos que a vulnerabilidade pode ser explorada se pudéssemos carregar um DLL sem sinal arbitrário para estes processos. Isso nos permitiria ignorar o mecanismo de auto-defesa do software antivírus, principalmente porque as pastas do software McAfee são protegidos por um driver de sistema de arquivos mini-filter, que restringe as operações de escrita até mesmo por um administrador”, – explicam os pesquisadores SafeBreach.
Esta capacidade pode ser abusado por um atacante para diferentes fins, tais como a execução e evasão, Por exemplo: Aplicação Whitelisting Bypass.
Também irá fornecer o atacante com uma presença estável no sistema, porque o código malicioso do DLL será executado com cada reinício dos serviços.
Os pesquisadores disseram especialistas da McAfee sobre as costas problema em agosto deste ano, e até agora a vulnerabilidade já foi corrigido. Usuários de produtos vulneráveis são aconselhados a atualizar para a versão 16.0.R22 Atualizar 1.
