Специалисты компании SafeBreach обнаружили опасный баг CVE-2019-3648, затрагивающий защитные решения McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP) и McAfee Internet Security (MIS).
Корень проблемы заключается в том, что продукты McAfee пытаются загрузить файл DLL (wbemcomn.dll), используя неверный путь к файлу. В итоге злоумышленник получает возможность создать собственную вредоносную версию wbemcomn.dll, поместить ее в каталог, где антивирус пытается обнаружить файл, что в итоге приведет к загрузке файла и его запуску без каких-либо проверок.
Для эксплуатации уязвимости понадобятся права администратора. Если это условие было соблюдено, баг позволяет обойти защитные механизмы антивирусных продуктов McAfee и загрузить неподписанные DLL в различные службы, работающие с правами NT AUTHORITY\SYSTEM. Это обеспечит атакующему устойчивое присутствие в системе, ведь вредоносный код из DLL будет выполняться с каждым перезапуском служб.
Исследователи сообщили специалистам McAfee о проблеме еще в августе текущего года, и к настоящему моменту уязвимость уже была устранена. Пользователям уязвимых продуктов рекомендуется обновиться до версии 16.0.R22 Refresh 1.
Корень проблемы заключается в том, что продукты McAfee пытаются загрузить файл DLL (wbemcomn.dll), используя неверный путь к файлу. В итоге злоумышленник получает возможность создать собственную вредоносную версию wbemcomn.dll, поместить ее в каталог, где антивирус пытается обнаружить файл, что в итоге приведет к загрузке файла и его запуску без каких-либо проверок.
Для эксплуатации уязвимости понадобятся права администратора. Если это условие было соблюдено, баг позволяет обойти защитные механизмы антивирусных продуктов McAfee и загрузить неподписанные DLL в различные службы, работающие с правами NT AUTHORITY\SYSTEM. Это обеспечит атакующему устойчивое присутствие в системе, ведь вредоносный код из DLL будет выполняться с каждым перезапуском служб.
Исследователи сообщили специалистам McAfee о проблеме еще в августе текущего года, и к настоящему моменту уязвимость уже была устранена. Пользователям уязвимых продуктов рекомендуется обновиться до версии 16.0.R22 Refresh 1.
