A McAfee corrigiu uma vulnerabilidade de escalonamento de privilégios nas versões do Microsoft Windows de todas as versões do McAfee Antivirus que permitem executar código arbitrário e escalar para privilégios de sistema (NT AUTHORITY\SYSTEM).
A conta do sistema (SYSTEM) é a conta interna usada pelo sistema operativo Windows para gerir os serviços executados no Windows. É uma das contas com mais privilégios.
A vulnerabilidade afeta o cliente Microsoft Windows no McAfee Total Protection, McAfee Anti-Virus Plus e McAfee Internet Security, 16.0.R22 e versões anteriores.
A vulnerabilidade foi descoberta pelo SafeBreach Labs em todas as edições do McAfee. No entanto, para explorar esta vulnerabilidade, o invasor precisa ser um administrador do sistema.
“This vulnerability could be used by an attacker to bypass McAfee’s Self-Defense mechanism, evade defense and achieve persistence by loading multiple services that run as NT AUTHORITY\SYSTEM.”
Durante a execução do programa, varias partes do antivírus (calls) são executadas com permissões de SYSTEM.
Em detalhe, os investigadores descobriram que o McAfee, que é executado como um processo assinado e como NT AUTHORITY \ SYSTEM, tenta carregar o ficheiro wbemcomn.dll do path (c:\Windows\System32\wbem\wbemcomn.dll), mas o ficheiro está disponível em System32 e não na pasta System32\Wbem.
Este bypass, permite que os investigadores carreguem uma DLL arbitrária não assinada no processo e, ignoram, assim, o mecanismo de autodefesa do antivírus.
“This is mainly because the folders of the McAfee software are protected by a mini-filter filesystem driver, which restricts writing operations even by an Administrator.”
A vulnerabilidade oferece aos atacantes a capacidade de carregar e payloads usando vários serviços assinados de maneira persistente no contexto dos processos assinados da McAfee.
A vulnerabilidade foi identificada CVE-2019-3648 e foi comunicada à McAfee em 5 de agosto de 2019.
Foi corrigida agora e a McAfee recomenda que os utilizadores atualizem o seu antivírus com a versão 16.0.R22 Refresh 1 que corrige a vulnerabilidade de escalonamento de privilégios.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.