pemoyr
Опытный user
- Регистрация
- 17 Окт 2019
- Сообщения
- 125
- Реакции
- 1
Специалисты по безопасности из фирмы SafeBreach Labs нашли серьёзную уязвимость (идентификатор CVE-2019-3648) в антивирусном программном обеспечении McAfee, использование которой даёт возможность удалённо исполнять произвольный код.
Ошибка появилась из-за того, что не происходит проверка на наличие подписей в используемых DLL-библиотеках и они загружаются из рабочей папки, а не из реального расположения в папке System32. Благодаря этому любые, при этом не имеющие подпись, DLL-библиотеки могут быть загружены в перечень служб, работающих с правами AUTHORITY\SYSTEM.
Чтобы проэксплуатировать уязвимость, нужно обладать привилегиями администратора. Так как отдельные компоненты программ выполняются как службы Windows с системными правами, имеется возможность выполнить вредоносный код с помощью служб McAfee.
На данный момент удалось выяснить, что имеются 3 наиболее очевидных способа эксплуатации уязвимости в сценарии взлома. Данная уязвимость даёт возможность атакующему загружать и исполнять вредоносную полезную нагрузку. Это делается путём использования группы подписанных служб, которые запускает ПО McAfee, и позволяет миновать «белый» список программ и скрывать действия от защитного ПО.
Специалисты пояснили, что антивирусное ПО может не заметить заражённый двоичный файл из-за того, что библиотеки загружаются проверки.
Злоумышленник может сконфигурировать вредоносный код на перезапуск самого себя при каждом запуске службы для сохранения более долгого нахождения в системе.
Ошибка имеется в версиях McAfee Total Protection (MTP), Anti-Virus Plus (AVP) и Internet Security (MIS) по 16.0.R22.
Компания McAfee уже сделала обновление своего программного обеспечения, устраняющее эту проблему и рекомендует пользователям своего ПО обновиться.
Ошибка появилась из-за того, что не происходит проверка на наличие подписей в используемых DLL-библиотеках и они загружаются из рабочей папки, а не из реального расположения в папке System32. Благодаря этому любые, при этом не имеющие подпись, DLL-библиотеки могут быть загружены в перечень служб, работающих с правами AUTHORITY\SYSTEM.
Чтобы проэксплуатировать уязвимость, нужно обладать привилегиями администратора. Так как отдельные компоненты программ выполняются как службы Windows с системными правами, имеется возможность выполнить вредоносный код с помощью служб McAfee.
На данный момент удалось выяснить, что имеются 3 наиболее очевидных способа эксплуатации уязвимости в сценарии взлома. Данная уязвимость даёт возможность атакующему загружать и исполнять вредоносную полезную нагрузку. Это делается путём использования группы подписанных служб, которые запускает ПО McAfee, и позволяет миновать «белый» список программ и скрывать действия от защитного ПО.
Специалисты пояснили, что антивирусное ПО может не заметить заражённый двоичный файл из-за того, что библиотеки загружаются проверки.
Злоумышленник может сконфигурировать вредоносный код на перезапуск самого себя при каждом запуске службы для сохранения более долгого нахождения в системе.
Ошибка имеется в версиях McAfee Total Protection (MTP), Anti-Virus Plus (AVP) и Internet Security (MIS) по 16.0.R22.
Компания McAfee уже сделала обновление своего программного обеспечения, устраняющее эту проблему и рекомендует пользователям своего ПО обновиться.
