Os pesquisadores descobriram bug perigoso nos produtos da McAfee antivírus

especialistas SafeBreach descobriu um bug perigoso em produtos antivírus da McAfee. A vulnerabilidade CVE-2019-3648 afeta McAfee Total Protection (MTP), McAfee Anti-Virus plus (AVP), e McAfee Internet Security (O QUE) soluções de segurança.

A causa do problema é que os produtos da McAfee está tentando carregar o arquivo DLL (wbemcomn.dll) usando o caminho do arquivo errado.

“Em nossa exploração, descobrimos que vários serviços do software McAfee que são executados como processos assinados e como NT AUTHORITY SYSTEM tentar carregar c:\Windows System32 wbem wbemcomn.dll, que não pode ser encontrado (uma vez que é realmente localizado no System32 e não na pasta System32 Wbem)”, – escrever especialistas SafeBreach.

como um resultado, o atacante tem a oportunidade de criar a sua própria versão maliciosa de wbemcomn.dll, colocá-lo em um diretório onde o antivírus está tentando detectar o arquivo, o que acabará por levar ao download de arquivos e seu lançamento sem qualquer verificação.

Leia também: três produtores de antivírus americano chamado, cortado por banda Fxmsp

Para explorar a vulnerabilidade, atacante terá direitos de administrador. Se esta condição foi cumprida, o bug permite contornar os mecanismos de proteção de produtos antivírus da McAfee e carregar DLLs não assinados em vários serviços que trabalham com NT AUTHORITY SYSTEM direitos.

“Nós suspeitamos que a vulnerabilidade pode ser explorada se pudéssemos carregar um DLL sem sinal arbitrário para estes processos. Isso nos permitiria ignorar o mecanismo de auto-defesa do software antivírus, principalmente porque as pastas do software McAfee são protegidos por um driver de sistema de arquivos mini-filter, que restringe as operações de escrita até mesmo por um administrador”, – explicam os pesquisadores SafeBreach.

Esta capacidade pode ser abusado por um atacante para diferentes fins, tais como a execução e evasão, Por exemplo: Aplicação Whitelisting Bypass.

Também irá fornecer o atacante com uma presença estável no sistema, porque o código malicioso do DLL será executado com cada reinício dos serviços.

Os pesquisadores disseram especialistas da McAfee sobre as costas problema em agosto deste ano, e até agora a vulnerabilidade já foi corrigido. Usuários de produtos vulneráveis ​​são aconselhados a atualizar para a versão 16.0.R22 Atualizar 1.

Sobre Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Além disso, verifique

Remover Dating-universe.top Mostrar notificações

Sobre o Dating-universe.top Os pop-ups do Dating-universe.top não podem ser iniciados do nada. Se você realmente clicou …

Remover Noddenknow.com Mostrar notificações

Sobre o Noddenknow.com Os pop-ups do Noddenknow.com não podem abrir do nada. Se você tem realmente …

Deixe uma resposta