A McAfee corrigiu uma vulnerabilidade de escalonamento de privilégios nas versões do Microsoft Windows de todas as versões do McAfee Antivirus que permitem executar código arbitrário e escalar para privilégios de sistema (NT AUTHORITY\SYSTEM).
A conta do sistema (SYSTEM) é a conta interna usada pelo sistema operativo Windows para gerir os serviços executados no Windows. É uma das contas com mais privilégios.
A vulnerabilidade afeta o cliente Microsoft Windows no McAfee Total Protection, McAfee Anti-Virus Plus e McAfee Internet Security, 16.0.R22 e versões anteriores.
A vulnerabilidade foi descoberta pelo SafeBreach Labs em todas as edições do McAfee. No entanto, para explorar esta vulnerabilidade, o invasor precisa ser um administrador do sistema.
“This vulnerability could be used by an attacker to bypass McAfee’s Self-Defense mechanism, evade defense and achieve persistence by loading multiple services that run as NT AUTHORITY\SYSTEM.”
Durante a execução do programa, varias partes do antivírus (calls) são executadas com permissões de SYSTEM.
Em detalhe, os investigadores descobriram que o McAfee, que é executado como um processo assinado e como NT AUTHORITY \ SYSTEM, tenta carregar o ficheiro wbemcomn.dll do path (c:\Windows\System32\wbem\wbemcomn.dll), mas o ficheiro está disponível em System32 e não na pasta System32\Wbem.
Este bypass, permite que os investigadores carreguem uma DLL arbitrária não assinada no processo e, ignoram, assim, o mecanismo de autodefesa do antivírus.
“This is mainly because the folders of the McAfee software are protected by a mini-filter filesystem driver, which restricts writing operations even by an Administrator.”
A vulnerabilidade oferece aos atacantes a capacidade de carregar e payloads usando vários serviços assinados de maneira persistente no contexto dos processos assinados da McAfee.
A vulnerabilidade foi identificada CVE-2019-3648 e foi comunicada à McAfee em 5 de agosto de 2019.
Foi corrigida agora e a McAfee recomenda que os utilizadores atualizem o seu antivírus com a versão 16.0.R22 Refresh 1 que corrige a vulnerabilidade de escalonamento de privilégios.