McAfee防毒軟體中的提權漏洞

近期，McAfee修復了一個影響所有Windows版本防毒軟體的漏洞，它能幫助攻擊者非法提升許可權，以SYSTEM身份執行任意程式碼。

McAfee Total Protection（MTP）、McAfee Anti-Virus Plus（AVP）、McAfee Internet Security（MIS）的16。0。R22版本都受到該漏洞影響。

許可權提升

據發現該漏洞的SafeBreach實驗室安全研究員Peleg Hadar的介紹，這一提權漏洞被標記為CVE-2019-3648，攻擊者只有擁有Administrator許可權才能利用。

雖然此漏洞的利用條件較為苛刻，但類似漏洞的CVSS 3的評分往往較高。

該漏洞的利用方式主要還是和DLL劫持有關，攻擊者在控制受害者機器後可藉此在後滲透流程中保證永續性。

根據Hadar的說法，該漏洞可用於繞過McAfee的自我防禦機制。將任意未簽名的DLL載入以NT AUTHORITY\SYSTEM許可權執行的多個服務中，以躲避安全防禦，保證永續性。

McAfee在推出的最新版本軟體中已修復了這個漏洞。

從當前工作目錄載入任意DLL

SafeBreach實驗室的研究人員表示，CVE-2019-3648是由於防毒軟體試圖從當前工作目錄（CWD）而不是實際位置載入DLL所導致的，並且在載入DLL的過程中並不會檢查簽名。

Hadar發現，當McAfee軟體（以NT AUTHORITY\SYSTEM許可權）執行時，會試圖從當前工作目錄（C：\Windows\System32\Wbem）匯入wbemcomn。dll，但其實真正的wbemcomn。dll位於System32資料夾。載入過程中會先尋找C：\Windows\System32\Wbem資料夾是否有DLL檔案，再尋找System32資料夾是否有DLL檔案。一旦攻擊者把惡意DLL檔案放入C：\Windows\System32\Wbem，就會被McAfee軟體載入。

如果攻擊者在系統上已擁有Administrator許可權，就可以很容易地將任意DLL載入到程序中，繞過McAfee的自我防禦機制。

在某個演示中，Hadar將一個無簽名的DLL檔案放入 C：\Windows\System32\Wbem資料夾，並以NT AUTHORITY\SYSTEM許可權執行McAfee，最終DLL檔案被成功載入而沒有引發報警。

Hadar說：“該漏洞能使攻擊者往McAfee的多個簽名程序中載入payload。”

這種特性可以被攻擊者用於多種目的，特別是繞過安全檢測以及應用程式白名單。此外在每次執行McAfee軟體時都會啟用payload，從而保證永續性。

有關更多漏洞被發現的細節，以及完整的披露時間表，可以在SafeBreach的實驗室報告中瞭解。

安全廠商的本地提權漏洞

這不是Hadar發現的第一個安全產品的提權漏洞，之前他還發現了趨勢科技密碼管理器，Check Point的安全軟體，Bitdefender免費版防毒軟體，Avira的2019版防毒軟體，Avast和AVG防毒軟體的提權漏洞。

它們幾乎每一個都可被利用來提升許可權，保證永續性，同時擁有一定躲避安全檢查的能力。

本文由白帽彙整理並翻譯，不代表白帽匯任何觀點和立場

原文：https：//www。bleepingcomputer。com/news/security/mcafee-patches-privilege-escalation-flaw-in-antivirus-software/

白帽匯從事資訊保安，專注於安全大資料、企業威脅情報。

公司產品：FOFA-網路空間安全搜尋引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平臺。

為您提供：網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。