曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载

近期,McAfee修正曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载了一个影响一切Windows版别杀毒软件的缝隙,它能协助攻击者不合法提高权限,以SYST标签17EM身份履行恣意代码。

McAfee Total Protection(MTP)、McAfee Anti-Virus Plus(AVP)、McAfee Internet Security(MIS)的16.0.R22版别都受到该缝隙影响。

权限提高

据发现该缝隙的SafeBreach实验室安全研究员Peleg Hadar的介绍,这一提权缝隙被标记为CVE-2019-3648,攻击者只要具有Administrator权限才干使用。

尽管此缝隙的使用条件较为严苛,但相似缝隙的CVSS 标签173的评分往往较高。

该缝隙的使用方法首要仍是和DLL绑架有关,攻击者在操控受害者机器后可借此在后浸透流程中确保持久性。

依据Hadar的说法,该缝隙可用于绕过McAfee的自我防护机制。将恣意未签名的DLL加载以NT AUTHORITY\SYSTEM权限运转的多个服务中,以逃避安全防护,确保持久性。

McAfee在推出的最新版别软件中已修正了这个缝隙。

从当前工作目录加载恣意DLL

SafeBreach实验室的研究人员表明,CVE-2019-3648是因为杀毒软件企图从当前工作目录(CWD)而不是实践方位加载DLL所导致的,并且在加载DLL的进程中并不会查看签名。

Hadar发现,当McAfee软件(以NT AUTHORITY\SYSTEM权限)运转时,会企图从当前工作目录(C:\Windows\System32\W标签14bem曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载)导入wbemcomn.dll,但其实真实的wbemcomn.dll坐落System32文件夹。加载进程中会先寻觅C:\Windows\System32\标签1Wbe标签20m文件夹是否有DL标签3L文件,再寻觅System32文件夹是否有DLL文件。一旦攻击者把歹意DLL文件放入C:\Windows\System32\Wbem,就会被McAfee软件加载。


假如攻击者在体系上已具有Administrator权限,就能够很容易地将恣意DLL加载到进程中,绕过McAfee的自我防护机制。

在某个演示中,Hadar将一个无签名的DLL文件放入 C:\Windows\System32\Wbem文曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载件夹,并以NT AUTHORITY\SYSTEM权限履行McAfee,终究DLL文件被成功加载而没有引发报警。

Hadar说:“该缝隙能使攻击者往McAfee的多个签名进程中加载payload。”

这种特性能够被攻击者用于多种意图,特别是绕过安全检测以及应用程序白名单曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载。此外在每次运转McAfee软件时都会激活payload,然后确保持久性。

有关更多缝隙被发现的细节,以及完好的发表时间表,能够在SafeBreach的实验室陈述中了解。

安全厂商的本地标签14提权缝隙

这不是Had曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载ar发现的第一个安全产品的提权缝隙,之前他还发现了趋势科技暗码管理器,Check Point的安全软件,Bitdefen标签1der免费版杀毒软件,Avira的2019版杀毒软件,Avast和AVG杀毒软件的提权缝隙。

它们简直每一个都可被使用来标签19提高权限,确保持久性,一起具有必定逃避安全查看的才能。

本文由白帽汇收拾并翻译,不代表达帽汇任何观念和态度

来历:https://nosec.org/home/detail/3163.html

原文:https://www.标签1bleepingcomputer.com/n标签10ews/security/m曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载cafee-patches-privilege-标签17escalation-flaw-in-antivirus曾国藩家书-亚搏体育苹果版官方下载-亚搏全站app下载-software/

白帽汇标签10从事信息安全,专心于安全大数据、企业要挟情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索体系、NOSEC-安全消息渠道。

为您供给:网络空间测绘、企业财物搜集、企业要挟情报、应急呼应服务。