Falha em antivírus da McAfee deixa sistemas vulneráveis

Bug pode ser usado por malfeitores para carregar e executar código sem que isso seja detectado pelas defesas do sistema
Rafael Rigues13/11/2019 13h12, atualizada em 13/11/2019 13h14

20190927063634-1920x1080

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Pesquisadores da equipe de segurança cibernética do SafeBreach Labs revelaram uma grave vulnerabilidade de execução de código que afeta o McAfee Total Protection (MTP), o Anti-Virus Plus (AVP) e o Internet Security (MIS). A falha, designada como CVE-2019-3648, pode ser usada para contornar os mecanismos de autodefesa do software da McAfee, e potencialmente levar a outros ataques a um sistema comprometido.

A vulnerabilidade foi relatada pela primeira vez à McAfee em 5 de agosto por meio da plataforma de recompensas por bugs HackerOne. A empresa respondeu em 21 de agosto e mais tarde confirmou a validade do problema de segurança em 3 de setembro, após realizar a triagem.

A vulnerabilidade existe devido a uma falha na validação que não verifica se uma DLL carregada é assinada e a um problema de caminho no qual uma DLL é carregada de seu diretório de trabalho, em vez de seu local real na pasta System32. Com isso, uma DLL comprometida, contendo código malicioso, pode ser colocada no sistema e carregada e executada pelo software da McAfee. Os invasores precisam ter privilégios de administrador para aproveitar essa falha de segurança.

O bug permite que os atacantes carreguem e executem software malicioso usando vários serviços assinados no contexto do software da McAfee, e também pode ser usado para contornar a lista de permissões de aplicativos e evitar a detecção por software de defesa. Além disso, o código malicioso pode ser configurado para recarregar sempre que um serviço é iniciado, a fim de manter a persistência em um sistema vulnerável.

O McAfee Total Protection (MTP), o Anti-Virus Plus (AVP) e o Internet Security (MIS) até e inclusive a versão 16.0.R22 são impactados. A versão 16.0.R22 Atualização 1 está sendo lançada para resolver a falha de segurança.

Fonte: ZDNet

Colunista

Rafael Rigues é colunista no Olhar Digital