研究人员指出,McAfee 软件中存在一个严重的代码执行漏洞,影响该软件的所有版本。
本周二,SafeBreachLabs 的网络安全团队表示,该漏洞(CVE-2019-3648)可用于绕过 McAfee 自我保护机制,可能导致受攻陷系统遭其它攻击。
出现该漏洞的原因在于未能验证加载的 DLL 是否已签名,以及存在一个路径问题:wbemprox.dll 试图从工作目录中加载 wbemxomn.dll,而不是从 System32 文件夹中的实际位置加载。
结果,任意未签名的 DLL 可被加载到多种以 NTAUTHORITY\SYSTEM 身份运行的服务中。
攻击者需要具备管理员权限才能利用这个漏洞。然而,如具备这种权限,因为杀毒软件的多个部分都是以系统级别的权限当 Windows 服务运行,因此能够在 McAfee 服务的上下文中执行任意代码。
SafeBreach Labs 表示,在攻击链中利用该漏洞的方式主要有三种。该漏洞可使攻击者在 McAfee 软件上下文中通过使用多种签名服务加载并执行恶意payload,而这种能力可被用于绕过应用程序白名单并避免软件检测。研究人员指出,“该杀毒软件可能无法检测到攻击者的二进制,因为它试图在未执行验证的前提下进行加载。”另外,每次启动服务时可以重新加载恶意代码,以便维持在易受攻击系统上的持久性。
McAfee Total Protection (MTP)、Anti-irus Plus (AVP) 和 Internet Security (MIS) 版本 16.0.R22 及之前版本均受影响。目前McAfee 正在发布 16.0.R22 Refresh 1 来解决该问题。
这个漏洞是安全研究员在8月份通过HackerOne 漏洞奖励平台报告的。8月21日,McAfee予以回应并在9月3日证实该问题是有效的。10月8日,McAfee和SafeBreach Labs 共享修复方案部署时间线,因此 CVE-2019-3648 是“保留”状态。
目前,McAfee公司尚未置评。
原文链接
https://www.zdnet.com/article/mcafee-antivirus-software-impacted-by-code-execution-vulnerability/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。