مرکز آپا دانشگاه کردستان

‫ اجرای کد دلخواه و افزایش سطح دسترسی در ویندوز توسط مهاجمان به دنبال آسیب‌پذیری امنیتی در انتی‌ویروس MCAFEE

آسیب‌پذیری امنیتی کشف شده در انتی ویروس McAfee با شناسه اختصاص داده شده CVE-2019-3648 می‌باشد و در تاریخ 5 آگوست 2019 به شرکت McAfee گزارش داده شده است. این آسیب‌پذیری توسط آزمایشگاه‌های SafeBreach در تمام نسخه‌های McAfee کشف شد. برای اکسپلویت این آسیب‌پذیری، مهاجم باید به عنوان یک مدیر اقدام به حمله نماید. مهاجم می‌تواند از آسیب‌پذیری مذکور برای دور زدن مکانیسم‌های حفاظتی McAfee و دستیابی به پایداری از طریق بارگیری چندین سرویس که به عنوان NT AUTHORITYSYSTEM اجرا می‌شوند، استفاده کند. از طریق این انتی‌ویروس، چندین بخش به عنوان یک سرویس اجرا شده ویندوز توسط “NT AUTHORITYSYSTEM” که دارای مجوز SYSTEM است، اجرا می‌شوند. به گفته محققان، انتی‌ویروس McAfee به عنوان NT AUTHORITYSYSTEM در تلاش است تا فایل wbemcomn.dll را از مسیر (c:WindowsSystem32wbemwbemcomn.dll) بارگذاری کند درحالیکه این فایل به System32 مربوط است و نه به پوشه ystem32Wbem. این مسئله محققان را قادر می‌سازد تا یک DLL دلخواه را جهت بارگذاری در این فرآیند بارگذاری نمایند و مکانیسم‌های امنیتی این انتی‌ویروس را دور بزنند. دلیل این امر نیز این است که پوشه‌های این انتی‌ویروس توسط یک درایور سیستم‌فایل mini-filter محافظت می‌شوند که حتی توسط یک مدیر، عملیات نوشتن را محدود می‌کند. این آسیب‌پذیری به مهاجمان امکان بارگذاری و اجرای payloadهای مخرب را با استفاده از چندین سرویس به صورت مداوم و در چارچوب فرآیندهای McAfee می‌دهد. شرکت McAfee این آسیب‌پذیری را در تمام نسخه‌های انتی‌ویروس خود وصله کرده است و از کاربران خواسته است تا نسخه 16.0.R22 را جهت رفع این آسیب‌پذیری نصب کنند. در این آسیب‌پذیری و در نسخه کلاینت ویندوز آانتی‌ویروس McAfee، مهاجمان می‌توانند کد دلخواه خود را اجرا کرده و به امتیازات SYSTEM دسترسی پیدا کنند. حساب کاربری SYSTEM یک حساب کاربری داخلی است که توسط سیستم‌عامل ویندوز برای مدیریت سرویس‌هایی که تحت ویندوز اجرا می‌شوند، استفاده می‌شود. این آسیب‌پذیری نسخه کلاینت ویندوز را در McAfee Total Protection، McAfee Anti-Virus Plus و McAfee Internet Security نسخه 16.0.R22 و قبل از آن را تحت تأثیر قرار می‌دهد.