В защите McAfee для банкоматов выявлена критическая уязвимость

В защите McAfee для банкоматов выявлена критическая уязвимость

Проблема позволяет атакующему выполнить произвольный код и повысить привилегии на системе.

image

Компания Positive Technologies сообщила об обнаружении опасной уязвимости в защитной системе для банкоматов Solidcore, входящей в состав решения McAfee Application Control (MAC). Проблема позволяет атакующему выполнить произвольный код и повысить привилегии на системе.

Уязвимость (CVE-2016-8009) была обнаружена сотрудником Positive Technologies Максимом Кожевниковым в ходе исследования защищенности банкоматов одного из крупных банков. Как поясняется в блоге компании, система Solidcore используется во множестве банкоматов на базе Windows для выявления и блокировки вредоносных файлов с помощью белых списков, а также для контроля привилегий запущенных процессов.

Выявленная проблема позволяет неавторизованному пользователю использовать IOCTL-обработчик одного из драйверов для повреждения памяти ядра OC Windows. Проэксплуатировав проблему, атакующий может выполнить произвольный код с правами SYSTEM, повысить пользовательские привилегии от Guest до SYSTEM или вызвать отказ в обслуживании ОС.

Воспользовавшись уязвимостью, эксперты смогли управлять компонентами Solidсore и выполнять действия с правами SYSTEM. К примеру, отключать взаимодействие Solidcore с сервером управления ePolicy Orchestrator, отключать блокировку консоли управления Solidcore, отключать парольную защиту и внедрять произвольный код в любые системные процессы. Злоумышленник может использовать уязвимый драйвер для добавления вредоносного ПО в белые списки Solidcore без полного отключения защиты и связи с сервером управления, что позволит избежать подозрений и записей в логах.

Напомним, в 2014 году был обнаружен троян Tyupkin, позволяющий похищать деньги из банкоматов не привлекая внимание. Загрузившись на систему, вредонос отключал антивирусное ПО McAfee Solidcore для того, чтобы ничто не препятствовало его вредоносной активности.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle