В антивирусном ПО McAfee обнаружена критическая уязвимость

В антивирусном ПО McAfee обнаружена критическая уязвимость

Эксплуатация уязвимости позволяет избегать обнаружения и удаленно выполнять код.

Исследователи безопасности из компании SafeBreach Labs обнаружили критическую уязвимость (CVE-2019-3648) в антивирусном ПО McAfee, эксплуатация которой позволяет злоумышленнику удаленно выполнять код.

Уязвимость связана с тем, что загружаемые DLL-библиотеки не проверяются на наличие подписей и загружаются из рабочего каталога, а не из фактического расположения в папке System32. Таким образом произвольные и неподписанные DLL-библиотеки могут быть загружены в несколько служб, запущенных с правами AUTHORITY\SYSTEM.

Для эксплуатации уязвимости злоумышленнику необходимо иметь права администратора. Поскольку некоторые части программного обеспечения работают как службы Windows с системными правами, возможно выполнение произвольного кода в контексте служб McAfee.

По словам специалистов, существует три основных способа использования уязвимости в цепочке атак. Эксплуатация проблемы позволяет злоумышленникам загружать и выполнять вредоносные полезные нагрузки, используя несколько подписанных служб в контексте программного обеспечения McAfee, обходить «белый» список приложений и избегать обнаружения защитным программным обеспечением.

«Антивирус может не обнаружить вредоносный двоичный файл, потому что он пытается загрузить его без какой-либо проверки», - говорят исследователи.

Как отмечают исследователи, преступник может настроить вредоносный код на перезагрузку при каждом запуске службы для сохранения персистентности на системе.

Проблема затрагивает версии McAfee Total Protection (MTP), Anti-Virus Plus (AVP) и Internet Security (MIS) до 16.0.R22 включительно. McAfee выпустила версию антивирусного ПО Version 16.0.R22 Refresh 1, исправляющую данную уязвимость.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!