نرم افزار آنتی ویروس McAfee تحت تأثیر آسیب پذیری اجرای کد

دسته بندی ها : اخبار ۹ آذر ۱۳۹۸ فایزه اشرفیان اشرفیان 442 بازدید

محققان آسیب پذیری جدی اجرای کد را که بر همه نسخه های نرم افزار McAfee تأثیر می گذارد، کشف کرده اند.

روز سه شنبه، تیم امنیت سایبری آزمایشگاه های SafeBreach Labs اعلام کردند که CVE-2019-3648 می تواند برای دور زدن مکانیسم های دفاعی McAfee، استفاده شود که به طور بالقوه منجر به حملات بیشتر به یک سیستم هک شده، می شود.

این آسیب پذیری به دلیل عدم تأیید صحت یا عدم بارگذاری DLL های امضا شده وجود دارد، و مسئله مسیری که wbemprox.dll سعی می کند تا wbemcomn.dll را از فهرست شاخه کار خود بارگیری کند، نه از محل واقعی یعنی پوشه System32.

در نتیجه، به دلخواه، DLL های بدون امضا قابل بارگیری در چندین سرویس هستند که به عنوان NT AUTHORITY \ SYSTEM اجرا می شوند.

مهاجمان برای استفاده از مزایای این نقص امنیتی باید از امتیازات admin برخوردار باشند. اما در صورت دستیابی به این امر، همانطور که چندین قسمت از نرم افزار به عنوان یک سرویس Windows با مجوزهای سطح سیستم اجرا می شود، اجرای کد دلخواه در چارچوب خدمات McAfee قابل دستیابی است.

طبق گفته آزمایشگاه های SafeBreach، سه روش اصلی وجود دارد که از این آسیب پذیری می توان در یک زنجیره حمله استفاده کرد.

این اشکال به مهاجمان اجازه می دهد تا payloadهای مخرب را با استفاده از چندین سرویس امضا شده در چارچوب نرم افزار McAfee بارگیری و اجرا کنند، و از این توانایی می توان علاوه بر این، برای دور زدن لیست سفید برنامه و جلوگیری از شناسایی توسط نرم افزار محافظ نیز استفاده کرد.

محققان می گویند: “آنتی ویروس ممکن است binary حمله کننده را تشخیص ندهد، زیرا بدون اعتبارسنجی، سعی می کند آن را بارگیری کند.

علاوه بر این، می توان بارگیری کد مخرب را بار دیگر بارگذاری کرد تا هر بار سرویس به منظور حفظ پایداری بر روی یک سیستم آسیب پذیر بارگیری شود.

McAfee Total Protection (MTP)، آنتی ویروس پلاس (AVP) و امنیت اینترنت (MIS) تا نسخه ۱۶.۰.R22 تحت تأثیر قرار می گیرند. نسخه ۱۶.۰.R22 Refresh 1 برای رفع عیب امنیتی منتشر شده است.

این آسیب پذیری برای اولین بار در تاریخ ۵ آگوست از طریق پلت فرم HackerOne bug bounty به McAfee گزارش شد.

تا ۸ اکتبر ، McAfee یک بازه زمانی استقرار ثابت را با آزمایشگاههای SafeBreach به اشتراک گذاشت و منجر به رزرو CVE-2019-3648 شد.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!