Vulnerabilidade no antivírus McAfee permite execução de código arbitrário permitindo aumentar os privilégios sobre sistema.

A McAfee corrigiu uma vulnerabilidade de escalonamento de privilégios nas versões do Microsoft Windows de todas as versões do McAfee Antivirus que permitem executar código arbitrário e escalar para privilégios de sistema (NT AUTHORITY\SYSTEM).

A conta do sistema (SYSTEM) é a conta interna usada pelo sistema operativo Windows para gerir os serviços executados no Windows. É uma das contas com mais privilégios.

A vulnerabilidade afeta o cliente Microsoft Windows no McAfee Total Protection, McAfee Anti-Virus Plus e McAfee Internet Security, 16.0.R22 e versões anteriores.

A vulnerabilidade foi descoberta pelo SafeBreach Labs em todas as edições do McAfee. No entanto, para explorar esta vulnerabilidade, o invasor precisa ser um administrador do sistema.

“This vulnerability could be used by an attacker to bypass McAfee’s Self-Defense mechanism, evade defense and achieve persistence by loading multiple services that run as NT AUTHORITY\SYSTEM.”

safe2-0001.png

 

Durante a execução do programa, varias partes do antivírus (calls) são executadas com permissões de SYSTEM.

Em detalhe, os investigadores descobriram que o McAfee, que é executado como um processo assinado e como NT AUTHORITY \ SYSTEM, tenta carregar o ficheiro wbemcomn.dll do path (c:\Windows\System32\wbem\wbemcomn.dll), mas o ficheiro está disponível em System32 e não na pasta System32\Wbem.

Este bypass, permite que os investigadores carreguem uma DLL arbitrária não assinada no processo e, ignoram, assim, o mecanismo de autodefesa do antivírus.

 “This is mainly because the folders of the McAfee software are protected by a mini-filter filesystem driver, which restricts writing operations even by an Administrator.”

 

A vulnerabilidade oferece aos atacantes a capacidade de carregar e payloads usando vários serviços assinados de maneira persistente no contexto dos processos assinados da McAfee.

A vulnerabilidade foi identificada CVE-2019-3648 e foi comunicada à McAfee em 5 de agosto de 2019.

Foi corrigida agora e a McAfee recomenda que os utilizadores atualizem o seu antivírus com a versão 16.0.R22 Refresh 1 que corrige a vulnerabilidade de escalonamento de privilégios.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *