近期，McAfee修復了一個影響所有Windows版本殺毒軟件的漏洞，它能幫助攻擊者非法提升權限，以SYSTEM身份執行任意代碼。

McAfee Total Protection（MTP）、McAfee Anti-Virus Plus（AVP）、McAfee Internet Security（MIS）的16.0.R22版本都受到該漏洞影響。

權限提升

據發現該漏洞的SafeBreach實驗室安全研究員Peleg Hadar的介紹，這一提權漏洞被標記為CVE-2019-3648，攻擊者只有擁有Administrator權限才能利用。

雖然此漏洞的利用條件較為苛刻，但類似漏洞的CVSS 3的評分往往較高。

該漏洞的利用方式主要還是和DLL劫持有關，攻擊者在控制受害者機器後可藉此在後滲透流程中保證持久性。

根據Hadar的說法，該漏洞可用於繞過McAfee的自我防禦機制。將任意未簽名的DLL加載以NT AUTHORITY\\SYSTEM權限運行的多個服務中，以躲避安全防禦，保證持久性。

McAfee在推出的最新版本軟件中已修復了這個漏洞。

從當前工作目錄加載任意DLL

SafeBreach實驗室的研究人員表示，CVE-2019-3648是由於殺毒軟件試圖從當前工作目錄（CWD）而不是實際位置加載DLL所導致的，並且在加載DLL的過程中並不會檢查簽名。

Hadar發現，當McAfee軟件（以NT AUTHORITY\\SYSTEM權限）運行時，會試圖從當前工作目錄（C:\\Windows\\System32\\Wbem）導入wbemcomn.dll，但其實真正的wbemcomn.dll位於System32文件夾。加載過程中會先尋找C:\\Windows\\System32\\Wbem文件夾是否有DLL文件，再尋找System32文件夾是否有DLL文件。一旦攻擊者把惡意DLL文件放入C:\\Windows\\System32\\Wbem，就會被McAfee軟件加載。

如果攻擊者在系統上已擁有Administrator權限，就可以很容易地將任意DLL加載到進程中，繞過McAfee的自我防禦機制。

在某個演示中，Hadar將一個無簽名的DLL文件放入 C:\\Windows\\System32\\Wbem文件夾，並以NT AUTHORITY\\SYSTEM權限執行McAfee，最終DLL文件被成功加載而沒有引發報警。

Hadar說：“該漏洞能使攻擊者往McAfee的多個簽名進程中加載payload。”

這種特性可以被攻擊者用於多種目的，特別是繞過安全檢測以及應用程序白名單。此外在每次運行McAfee軟件時都會激活payload，從而保證持久性。

有關更多漏洞被發現的細節，以及完整的披露時間表，可以在SafeBreach的實驗室報告中瞭解。

安全廠商的本地提權漏洞

這不是Hadar發現的第一個安全產品的提權漏洞，之前他還發現了趨勢科技密碼管理器，Check Point的安全軟件，Bitdefender免費版殺毒軟件，Avira的2019版殺毒軟件，Avast和AVG殺毒軟件的提權漏洞。

它們幾乎每一個都可被利用來提升權限，保證持久性，同時擁有一定躲避安全檢查的能力。

本文由白帽彙整理並翻譯，不代表白帽匯任何觀點和立場

來源：https://nosec.org/home/detail/3163.html

原文：https://www.bleepingcomputer.com/news/security/mcafee-patches-privilege-escalation-flaw-in-antivirus-software/

白帽匯從事信息安全，專注於安全大數據、企業威脅情報。

公司產品：FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。

為您提供：網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。

閱讀更多 NOSEC安全訊息平臺 的文章

關鍵字: 軟件 McAfee Ava