Программы безопасности McAfee имели серьезную уязвимость. В старых версиях Windows они подвергались атаке, с использованием возможности выполнения вредоносного кода.
С уязвимостью оказались такие программы как: McAfee Internet SecurityMcAfee, McAfee Anti-Virus Plus и Total Protection. Она была исправлена в версии 16.0.R22 Refresh 1, выпущенной 8 ноября. Их рекомендуется обновить как можно скорее, если программы McAfee используются.
Уязвимость безопасности была обнаружена SafeBreach Labs и обозначена как CVE-2019-3648. Ее можно использовать для обхода собственной безопасности McAfee. Это открывает путь для других программ в операционной системе, где могут быть выполнены дальнейшие этапы атаки.
Уязвимость была обнаружена в самозащите антивирусной программы. Это набор функций, которые не позволяют вредоносным программам отключать защиту и модификацию программы. Антивирусные программы McAfee загружали библиотеки DLL без контроля цифровой подписи.
В то же время ошибка в путях доступа к библиотеке привела к тому, что при загрузке библиотеки wbemprox.dll программа искала библиотеку wbemcomn.dll вне ее расположения по умолчанию, а в папке System32. Это позволило загружать неподписанную вредоносную библиотеку с привилегиями, повышенными до AUTHORITY\SYSTEM.
Чтобы использовать этот вектор атаки, киберпреступники должны иметь доступ к учетной записи системного администратора. Однако при определенных условиях они могут запускать вредоносные программы в контексте антивирусной программы McAfee. Можно даже добавить исключение к защитным механизмам, чтобы они игнорировали конкретные угрозы.
Специалисты привели примеры использования этой атаки в различных сценариях. Однако нет никаких доказательств того, что уязвимость использовалась в реальных атаках.