В антивирусном ПО McAfee обнаружена критическая уязвимость

В антивирусном ПО McAfee обнаружена критическая уязвимость

Эксплуатация уязвимости позволяет избегать обнаружения и удаленно выполнять код.

Исследователи безопасности из компании SafeBreach Labs обнаружили критическую уязвимость (CVE-2019-3648) в антивирусном ПО McAfee, эксплуатация которой позволяет злоумышленнику удаленно выполнять код.

Уязвимость связана с тем, что загружаемые DLL-библиотеки не проверяются на наличие подписей и загружаются из рабочего каталога, а не из фактического расположения в папке System32. Таким образом произвольные и неподписанные DLL-библиотеки могут быть загружены в несколько служб, запущенных с правами AUTHORITY\SYSTEM.

Для эксплуатации уязвимости злоумышленнику необходимо иметь права администратора. Поскольку некоторые части программного обеспечения работают как службы Windows с системными правами, возможно выполнение произвольного кода в контексте служб McAfee.

По словам специалистов, существует три основных способа использования уязвимости в цепочке атак. Эксплуатация проблемы позволяет злоумышленникам загружать и выполнять вредоносные полезные нагрузки, используя несколько подписанных служб в контексте программного обеспечения McAfee, обходить «белый» список приложений и избегать обнаружения защитным программным обеспечением.

«Антивирус может не обнаружить вредоносный двоичный файл, потому что он пытается загрузить его без какой-либо проверки», - говорят исследователи.

Как отмечают исследователи, преступник может настроить вредоносный код на перезагрузку при каждом запуске службы для сохранения персистентности на системе.

Проблема затрагивает версии McAfee Total Protection (MTP), Anti-Virus Plus (AVP) и Internet Security (MIS) до 16.0.R22 включительно. McAfee выпустила версию антивирусного ПО Version 16.0.R22 Refresh 1, исправляющую данную уязвимость.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!