Pesquisadores da equipe de segurança cibernética do SafeBreach Labs revelaram uma grave vulnerabilidade de execução de código que afeta o McAfee Total Protection (MTP), o Anti-Virus Plus (AVP) e o Internet Security (MIS). A falha, designada como CVE-2019-3648, pode ser usada para contornar os mecanismos de autodefesa do software da McAfee, e potencialmente levar a outros ataques a um sistema comprometido.
A vulnerabilidade foi relatada pela primeira vez à McAfee em 5 de agosto por meio da plataforma de recompensas por bugs HackerOne. A empresa respondeu em 21 de agosto e mais tarde confirmou a validade do problema de segurança em 3 de setembro, após realizar a triagem.
A vulnerabilidade existe devido a uma falha na validação que não verifica se uma DLL carregada é assinada e a um problema de caminho no qual uma DLL é carregada de seu diretório de trabalho, em vez de seu local real na pasta System32. Com isso, uma DLL comprometida, contendo código malicioso, pode ser colocada no sistema e carregada e executada pelo software da McAfee. Os invasores precisam ter privilégios de administrador para aproveitar essa falha de segurança.
O bug permite que os atacantes carreguem e executem software malicioso usando vários serviços assinados no contexto do software da McAfee, e também pode ser usado para contornar a lista de permissões de aplicativos e evitar a detecção por software de defesa. Além disso, o código malicioso pode ser configurado para recarregar sempre que um serviço é iniciado, a fim de manter a persistência em um sistema vulnerável.
O McAfee Total Protection (MTP), o Anti-Virus Plus (AVP) e o Internet Security (MIS) até e inclusive a versão 16.0.R22 são impactados. A versão 16.0.R22 Atualização 1 está sendo lançada para resolver a falha de segurança.
Fonte: ZDNet