ithome
文/林妍溱 | 2019-11-13发表
McAfee防毒软件爆权限升级漏洞，可让骇客执行攻击程式
继趋势科技、CheckPoint、Bitdefender、Avira、Avast发生防毒产品本机权限升级的安
全漏洞后，研究人员发现所有版本的McAfee防毒软件也存在相同安全弱点，可让骇客取得
管理员权限执行攻击或接管系统，McAfee在接获通报后，宣布会透过厂商自动更新机制替
用户完成修补
研究人员发现所有版本的McAfee防毒软件存在一项权限升级漏洞，可让骇客取得管理员权
限执行攻击或接管系统。
编号CVE-2019-3648的漏洞能让骇客绕过McAfee自我防护机制，下载未经签章的恶意DLL档
案到以系统权限执行的多项服务中，以进行档案删改、植入资料窃取程式或是接管整个系
统等攻击。
受影响产品扩及16.0.R22版以前所有McAfee防毒软件，包括McAfee Total Protection
(MTP)、McAfee Anti-Virus Plus (AVP)、 McAfee Internet Security (MIS)。研究人员
通报后，McAfee在周二发布安全公告，并会透过自动更新发布修补程式。
安全厂商SafeBreach 研究人员Peleg Hadar发现，McAfee多项服务以NT
AUTHORITY\SYSTEM帐号执行，又作为已签发行程身份执行。这些服务企图从当前工作目录
（current working directory，CWD）System32\Wbem、而非从实际所在位置（System 32
）加载DLL档，却又未验证DLL档是否由数位凭证签发。这就形成一个漏洞，让骇客得以将
未签发的任意DLL档注入到这些合法行程中，中间绕过McAfee原有保护资料夹的
mini-filter档案系统驱动程式的机制得逞。
在概念验证攻击中，研究人员成功将一个未签发的代理服务器DLL程式下载到多个McAfee
产品的已签发行程中执行。研究人员表示，这项漏洞可被骇客用作各种回避及执行目的，
像是绕过应用程式的白名单检测，使McAfee不主动侦测攻击程式的binary。还能获致持续
攻击之效，在每次服务启动时下载及执行恶意程式，也就是说，只要攻击者植入一次恶意
DLL档，每次McAfee服务重新启动时都会下载恶意程式码。
本漏洞风险分数被列为中度。研究人员8月初通报McAfee后，后者于9月中证实。所有受影
响的McAfee产品都会透过厂商自动更新机制升级到最新版。
此前趋势科技、CheckPoint、Bitdefender、Avira、Avast，也都出现过防毒产品本机权
限升级的安全漏洞。
https://reurl.cc/lLYNbq