研究人員發現所有版本的McAfee防毒軟體存在一項權限升級漏洞,可讓駭客取得管理員權限執行攻擊或接管系統。

編號CVE-2019-3648的漏洞能讓駭客繞過McAfee自我防護機制,下載未經簽章的惡意DLL檔案到以系統權限執行的多項服務中,以進行檔案刪改、植入資料竊取程式或是接管整個系統等攻擊。

受影響產品擴及16.0.R22版以前所有McAfee防毒軟體,包括McAfee Total Protection (MTP)、McAfee Anti-Virus Plus (AVP)、 McAfee Internet Security (MIS)。研究人員通報後,McAfee在周二發佈安全公告,並會透過自動更新發佈修補程式。

安全廠商SafeBreach 研究人員Peleg Hadar發現,McAfee多項服務以NT AUTHORITY\SYSTEM帳號執行,又作為已簽發行程身份執行。這些服務企圖從當前工作目錄(current working directory,CWD)System32\Wbem、而非從實際所在位置(System 32)載入DLL檔,卻又未驗證DLL檔是否由數位憑證簽發。這就形成一個漏洞,讓駭客得以將未簽發的任意DLL檔注入到這些合法行程中,中間繞過McAfee原有保護資料夾的mini-filter檔案系統驅動程式的機制得逞。

在概念驗證攻擊中,研究人員成功將一個未簽發的代理伺服器DLL程式下載到多個McAfee產品的已簽發行程中執行。研究人員表示,這項漏洞可被駭客用作各種迴避及執行目的,像是繞過應用程式的白名單檢測,使McAfee不主動偵測攻擊程式的binary。還能獲致持續攻擊之效,在每次服務啟動時下載及執行惡意程式,也就是說,只要攻擊者植入一次惡意DLL檔,每次McAfee服務重新啟動時都會下載惡意程式碼。

本漏洞風險分數被列為中度。研究人員8月初通報McAfee後,後者於9月中證實。所有受影響的McAfee產品都會透過廠商自動更新機制升級到最新版。

此前趨勢科技、CheckPoint、Bitdefender、Avira、Avast,也都出現過防毒產品本機權限升級的安全漏洞。


Advertisement

更多 iThome相關內容