Programy McAfee z poważną luką: możliwe było ładowanie szkodliwych bibliotek
Programy zabezpieczające McAfee miały poważną lukę. Starsze wersje narażają system Windows na atak, wykorzystujący możliwość wykonania szkodliwego kodu.
14.11.2019 13:27
Podatne na atak są programy McAfee Total Protection, McAfee Anti-Virus Plus i McAfee Internet Security. Luka została załatana w wersji 16.0.R22 Refresh 1, wydanej 8 listopada. Zalecamy jak najszybszą aktualizację, jeśli korzystasz z programów McAfee.
McAfee ładował DLL bez sprawdzenia
Luka bezpieczeństwa została odkryta przez SafeBreach Labs i oznaczona jako CVE-2019-3648. Można ją wykorzystać, by obejść własne zabezpieczenia programów McAfee. To otwiera drogę do innych programów i systemu operacyjnego, gdzie można przeprowadzić dalsze etapy ataku.
Luka została znaleziona w samoobronie programu antywirusowego. To zestaw funkcji, które zapobiegają wyłączeniu ochrony i modyfikacji programu przez malware. Programy antywirusowe McAfee ładowały biblioteki DLL bez kontroli podpisu cyfrowego. Przy tym błąd w ścieżkach dostępu do bibliotek sprawił, że przy ładowaniu biblioteki wbemprox.dll program szukał biblioteki wbemcomn.dll poza jej domyślnym miejscem w folderze System32. To pozwalało załadować niepodpisaną, szkodliwą bibliotekę z uprawnieniami podniesionymi do AUTHORITY\SYSTEM.
By wykorzystać ten wektor ataku, cyberprzestępcy musieliby mieć dostęp do konta administratora systemu. W odpowiednich warunkach jednak mogli w ten sposób uruchomić szkodliwe programy w kontekście programu antywirusowego McAfee. Możliwe jest nawet dodanie wyjątku do mechanizmów ochronnych, by ignorowały konkretne zagrożenia.
Specjaliści podali przykłady zastosowania tego ataku w różnych scenariuszach. Nie ma jednak dowodów na to, że luka była wykorzystywana w realnych atakach.