Programy McAfee z poważną luką: możliwe było ładowanie szkodliwych bibliotek

Programy zabezpieczające McAfee miały poważną lukę. Starsze wersje narażają system Windows na atak, wykorzystujący możliwość wykonania szkodliwego kodu.

Podatne na atak są programy McAfee Total Protection, McAfee Anti-Virus Plus i McAfee Internet Security. Luka została załatana w wersji 16.0.R22 Refresh 1, wydanej 8 listopada. Zalecamy jak najszybszą aktualizację, jeśli korzystasz z programów McAfee.

Luka bezpieczeństwa została odkryta przez SafeBreach Labs i oznaczona jako CVE-2019-3648. Można ją wykorzystać, by obejść własne zabezpieczenia programów McAfee. To otwiera drogę do innych programów i systemu operacyjnego, gdzie można przeprowadzić dalsze etapy ataku.

Luka została znaleziona w samoobronie programu antywirusowego. To zestaw funkcji, które zapobiegają wyłączeniu ochrony i modyfikacji programu przez malware. Programy antywirusowe McAfee ładowały biblioteki DLL bez kontroli podpisu cyfrowego. Przy tym błąd w ścieżkach dostępu do bibliotek sprawił, że przy ładowaniu biblioteki wbemprox.dll program szukał biblioteki wbemcomn.dll poza jej domyślnym miejscem w folderze System32. To pozwalało załadować niepodpisaną, szkodliwą bibliotekę z uprawnieniami podniesionymi do AUTHORITY\SYSTEM.

By wykorzystać ten wektor ataku, cyberprzestępcy musieliby mieć dostęp do konta administratora systemu. W odpowiednich warunkach jednak mogli w ten sposób uruchomić szkodliwe programy w kontekście programu antywirusowego McAfee. Możliwe jest nawet dodanie wyjątku do mechanizmów ochronnych, by ignorowały konkretne zagrożenia.

Specjaliści podali przykłady zastosowania tego ataku w różnych scenariuszach. Nie ma jednak dowodów na to, że luka była wykorzystywana w realnych atakach.