#آسیب پذیری امنیتی کشف شده در آنتی ویروس McAfee با شناسه اختصاص داده شده "CVE-2019-3648" میباشد و در تاریخ 5 آگوست 2019 به شرکت McAfee گزارش داده شده است. این آسیبپذیری توسط آزمایشگاههای SafeBreach در تمام نسخههای McAfee کشف شد. برای اکسپلویت این آسیبپذیری، مهاجم باید به عنوان یک مدیر اقدام به حمله نماید.
مهاجم میتواند از آسیبپذیری مذکور برای دور زدن مکانیسمهای حفاظتی McAfeeو دستیابی به پایداری از طریق بارگیری چندین سرویس که به عنوان "NT AUTHORITY\SYSTEM" اجرا میشوند، استفاده کند.
از طریق این آنتیویروس، چندین بخش به عنوان یک سرویس اجرا شده ویندوز توسط “NT AUTHORITY\SYSTEM” که دارای مجوز SYSTEM است، اجرا میشوند.
به گفته محققان، آنتیویروس McAfee به عنوان "NT AUTHORITY\SYSTEM" در تلاش است تا فایل wbemcomn.dll را از مسیر (c:\Windows\System32\wbem\wbemcomn.dll) بارگذاری کند درحالیکه این فایل به System32مربوط است و نه به پوشه ystem32\Wbem.
این مسئله محققان را قادر میسازد تا یک DLL دلخواه را جهت بارگذاری در این فرآیند بارگذاری نمایند و مکانیسمهای امنیتی این آنتیویروس را دور بزنند. دلیل این امر نیز این است که پوشههای این آنتیویروس توسط یک درایور سیستمفایل mini-filterمحافظت میشوند که حتی توسط یک مدیر، عملیات نوشتن را محدود میکند.
این آسیبپذیری به مهاجمان امکان بارگذاری و اجرای payloadهای مخرب را با استفاده از چندین سرویس به صورت مداوم و در چارچوب فرآیندهای McAfee میدهد.
شرکت McAfeeا ین آسیبپذیری را در تمام نسخههای آنتیویروس خود وصله کرده است و از کاربران خواسته است تا نسخه 16.0.R22 را جهت رفع این آسیبپذیری نصب کنند. در این آسیبپذیری و در نسخه کلاینت ویندوز آنتیویروس McAfee، مهاجمان میتوانند کد دلخواه خود را اجرا کرده و به امتیازات SYSTEM دسترسی پیدا کنند.
حساب کاربری SYSTEM یک حساب کاربری داخلی است که توسط سیستمعامل ویندوز برای مدیریت سرویسهایی که تحت ویندوز اجرا میشوند، استفاده میشود.
این آسیبپذیری نسخه کلاینت ویندوز را در McAfee Total Protection، McAfee Anti-Virus Plus و McAfee Internet Security نسخه 16.0.R22 و قبل از آن را تحت تأثیر قرار میدهد.
منبع خبر:
- 9