A vida não parece estar fácil pra ninguém, nem mesmo pelos antivirus que, em tese, deveriam garantir sua segurança on-line. primeiro, já relatamos aqui um problema com a Avast. Agora, foi a vez de descobrirem uma grave falha de segurança no antivírus da MacAfee. Portanto, o McAfee antivírus é afetado por uma falha de segurança pode ignorar os mecanismos de autodefesa.
Os pesquisadores revelaram uma séria vulnerabilidade de execução de código, afetando todas as edições do software McAfee. Na terça-feira, a equipe de segurança cibernética do SafeBreach Labs disse que o CVE-2019-3648 pode ser usado para contornar os mecanismos de autodefesa da McAfee. Assim, pode, potencialmente, levar a novos ataques a um sistema comprometido.
Como o McAfee antivírus é afetado por falha de segurança?
A vulnerabilidade existe devido a uma falha na validação se o carregamento de DLLs foi assinado ou não e a um problema de caminho no qual o wbemprox.dll tenta carregar o wbemcomn.dll no diretório ativo, e não no local real na pasta System32.
Como resultado, DLLs arbitrárias e não assinadas podem ser carregadas em vários serviços executados como NT AUTHORITY \ SYSTEM.
Como agem os invasores?
Os invasores precisam ter privilégios de administrador para aproveitar essa falha de segurança. No entanto, se isso for alcançado, como várias partes do software são executadas como um serviço do Windows com permissões no nível do sistema, a execução arbitrária de código pode ser alcançada no contexto dos serviços da McAfee.
De acordo com o SafeBreach Labs, existem três maneiras principais pelas quais a vulnerabilidade pode ser explorada em uma cadeia de ataques.
O bug permite que os atacantes carreguem e executem cargas maliciosas usando vários serviços assinados no contexto do software da McAfee, e essa capacidade também pode ser usada para contornar a lista de permissões de aplicativos e evitar a detecção por software de proteção.
O antivírus pode não detectar o binário do atacante, porque ele tenta carregá-lo sem nenhuma verificação, afirmam os pesquisadores.
Além disso, o código malicioso pode ser configurado para recarregar sempre que um serviço é iniciado, a fim de manter a persistência em um sistema vulnerável.
Versões afetadas
O McAfee Total Protection (MTP), o Anti-Virus Plus (AVP) e o Internet Security (MIS) e inclusive a versão 16.0.R22 são impactados. A versão 16.0.R22 está sendo lançada para resolver a falha de segurança.
A vulnerabilidade foi relatada pela primeira vez à McAfee em 5 de agosto por meio da plataforma de recompensas de bugs do HackerOne. O fornecedor de segurança cibernética respondeu em 21 de agosto e mais tarde confirmou a validade do problema de segurança em 3 de setembro, após realizar a triagem.
Em 8 de outubro, a McAfee compartilhou uma escala de tempo de implantação fixa com o SafeBreach Labs, levando à reserva do CVE-2019-3648.
Fonte ZDNet