اجرای کد دلخواه و افزایش سطح دسترسی در ویندوز توسط مهاجمان به دنبال آسیبپذیری امنیتی در آنتیویروس McAfee
#آسیب پذیری امنیتی کشف شده در آنتی ویروس McAfeeبا شناسه اختصاص داده شده "CVE-2019-3648" میباشد و در تاریخ 5 آگوست 2019 به شرکت McAfeeگزارش داده شده است. این آسیبپذیری توسط آزمایشگاههای SafeBreachدر تمام نسخههای McAfeeکشف شد. برای اکسپلویت این آسیبپذیری، مهاجم باید به عنوان یک مدیر اقدام به حمله نماید.
مهاجم میتواند از آسیبپذیری مذکور برای دور زدن مکانیسمهای حفاظتی McAfeeو دستیابی به پایداری از طریق بارگیری چندین سرویس که به عنوان "NT AUTHORITY\SYSTEM"اجرا میشوند، استفاده کند.
از طریق این آنتیویروس، چندین بخش به عنوان یک سرویس اجرا شده ویندوز توسط “NT AUTHORITY\SYSTEM” که دارای مجوز SYSTEMاست، اجرا میشوند.
به گفته محققان، آنتیویروس McAfeeبه عنوان "NT AUTHORITY\SYSTEM" در تلاش است تا فایل wbemcomn.dll را از مسیر (c:\Windows\System32\wbem\wbemcomn.dll) بارگذاری کند درحالیکه این فایل به System32مربوط است و نه به پوشه ystem32\Wbem.
این مسئله محققان را قادر میسازد تا یک DLLدلخواه را جهت بارگذاری در این فرآیند بارگذاری نمایند و مکانیسمهای امنیتی این آنتیویروس را دور بزنند. دلیل این امر نیز این است که پوشههای این آنتیویروس توسط یک درایور سیستمفایل mini-filterمحافظت میشوند که حتی توسط یک مدیر، عملیات نوشتن را محدود میکند.
این آسیبپذیری به مهاجمان امکان بارگذاری و اجرای payloadهای مخرب را با استفاده از چندین سرویس به صورت مداوم و در چارچوب فرآیندهای McAfeeمیدهد.
شرکت McAfeeاین آسیبپذیری را در تمام نسخههای آنتیویروس خود وصله کرده است و از کاربران خواسته است تا نسخه 16.0.R22را جهت رفع این آسیبپذیری نصب کنند. در این آسیبپذیری و در نسخه کلاینت ویندوز آنتیویروس McAfee، مهاجمان میتوانند کد دلخواه خود را اجرا کرده و به امتیازات SYSTEMدسترسی پیدا کنند.
حساب کاربری SYSTEMیک حساب کاربری داخلی است که توسط سیستمعامل ویندوز برای مدیریت سرویسهایی که تحت ویندوز اجرا میشوند، استفاده میشود.
این آسیبپذیری نسخه کلاینت ویندوز را در McAfee Total Protection، McAfee Anti-Virus Plusو McAfee Internet Securityنسخه 16.0.R22و قبل از آن را تحت تأثیر قرار میدهد.
منبع خبر:
مشخصات خبر
 |
|
| تاریخ ایجاد: | 12 آذر 1398 |
نظرات