ithome
文/林妍溱 | 2019-11-13發表
McAfee防毒軟體爆權限升級漏洞，可讓駭客執行攻擊程式
繼趨勢科技、CheckPoint、Bitdefender、Avira、Avast發生防毒產品本機權限升級的安
全漏洞後，研究人員發現所有版本的McAfee防毒軟體也存在相同安全弱點，可讓駭客取得
管理員權限執行攻擊或接管系統，McAfee在接獲通報後，宣布會透過廠商自動更新機制替
用戶完成修補
研究人員發現所有版本的McAfee防毒軟體存在一項權限升級漏洞，可讓駭客取得管理員權
限執行攻擊或接管系統。
編號CVE-2019-3648的漏洞能讓駭客繞過McAfee自我防護機制，下載未經簽章的惡意DLL檔
案到以系統權限執行的多項服務中，以進行檔案刪改、植入資料竊取程式或是接管整個系
統等攻擊。
受影響產品擴及16.0.R22版以前所有McAfee防毒軟體，包括McAfee Total Protection
(MTP)、McAfee Anti-Virus Plus (AVP)、 McAfee Internet Security (MIS)。研究人員
通報後，McAfee在周二發佈安全公告，並會透過自動更新發佈修補程式。
安全廠商SafeBreach 研究人員Peleg Hadar發現，McAfee多項服務以NT
AUTHORITY\SYSTEM帳號執行，又作為已簽發行程身份執行。這些服務企圖從當前工作目錄
（current working directory，CWD）System32\Wbem、而非從實際所在位置（System 32
）載入DLL檔，卻又未驗證DLL檔是否由數位憑證簽發。這就形成一個漏洞，讓駭客得以將
未簽發的任意DLL檔注入到這些合法行程中，中間繞過McAfee原有保護資料夾的
mini-filter檔案系統驅動程式的機制得逞。
在概念驗證攻擊中，研究人員成功將一個未簽發的代理伺服器DLL程式下載到多個McAfee
產品的已簽發行程中執行。研究人員表示，這項漏洞可被駭客用作各種迴避及執行目的，
像是繞過應用程式的白名單檢測，使McAfee不主動偵測攻擊程式的binary。還能獲致持續
攻擊之效，在每次服務啟動時下載及執行惡意程式，也就是說，只要攻擊者植入一次惡意
DLL檔，每次McAfee服務重新啟動時都會下載惡意程式碼。
本漏洞風險分數被列為中度。研究人員8月初通報McAfee後，後者於9月中證實。所有受影
響的McAfee產品都會透過廠商自動更新機制升級到最新版。
此前趨勢科技、CheckPoint、Bitdefender、Avira、Avast，也都出現過防毒產品本機權
限升級的安全漏洞。
https://reurl.cc/lLYNbq