近期，McAfee修復了一個影響所有windows版本殺毒軟件的漏洞，它能幫助攻擊者非法提升權限，以SYSTEM身份執(zhí)行任意代碼。

McAfee Total Protection（MTP）、McAfee Anti-Virus Plus（AVP）、McAfee Internet Security（MIS）的16.0.R22版本都受到該漏洞影響。

權限提升

據發(fā)現(xiàn)該漏洞的SafeBreach實驗室安全研究員Peleg Hadar的介紹，這一提權漏洞被標記為CVE-2019-3648，攻擊者只有擁有Administrator權限才能利用。

雖然此漏洞的利用條件較為苛刻，但類似漏洞的CVSS 3的評分往往較高。

該漏洞的利用方式主要還是和DLL劫持有關，攻擊者在控制受害者機器后可借此在后滲透流程中保證持久性。

根據Hadar的說法，該漏洞可用于繞過McAfee的自我防御機制。將任意未簽名的DLL加載以NT AUTHORITYSYSTEM權限運行的多個服務中，以躲避安全防御，保證持久性。

McAfee在推出的最新版本軟件中已修復了這個漏洞。

從當前工作目錄加載任意DLL

SafeBreach實驗室的研究人員表示，CVE-2019-3648是由于殺毒軟件試圖從當前工作目錄（CWD）而不是實際位置加載DLL所導致的，并且在加載DLL的過程中并不會檢查簽名。

Hadar發(fā)現(xiàn)，當McAfee軟件（以NT AUTHORITYSYSTEM權限）運行時，會試圖從當前工作目錄（C:WindowsSystem32Wbem）導入wbemcomn.dll，但其實真正的wbemcomn.dll位于System32文件夾。加載過程中會先尋找C:WindowsSystem32Wbem文件夾是否有DLL文件，再尋找System32文件夾是否有DLL文件。一旦攻擊者把惡意DLL文件放入C:WindowsSystem32Wbem，就會被McAfee軟件加載。

如果攻擊者在系統(tǒng)上已擁有Administrator權限，就可以很容易地將任意DLL加載到進程中，繞過McAfee的自我防御機制。

在某個演示中，Hadar將一個無簽名的DLL文件放入 C:WindowsSystem32Wbem文件夾，并以NT AUTHORITYSYSTEM權限執(zhí)行McAfee，最終DLL文件被成功加載而沒有引發(fā)報警。

Hadar說：“該漏洞能使攻擊者往McAfee的多個簽名進程中加載payload。”

這種特性可以被攻擊者用于多種目的，特別是繞過安全檢測以及應用程序白名單。此外在每次運行McAfee軟件時都會激活payload，從而保證持久性。

有關更多漏洞被發(fā)現(xiàn)的細節(jié)，以及完整的披露時間表，可以在SafeBreach的實驗室報告中了解。

安全廠商的本地提權漏洞

這不是Hadar發(fā)現(xiàn)的第一個安全產品的提權漏洞，之前他還發(fā)現(xiàn)了趨勢科技密碼管理器，Check Point的安全軟件，Bitdefender免費版殺毒軟件，Avira的2019版殺毒軟件，Avast和AVG殺毒軟件的提權漏洞。

它們幾乎每一個都可被利用來提升權限，保證持久性，同時擁有一定躲避安全檢查的能力。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場

來源：https://nosec.org/home/detail/3163.html

原文：https://www.bleepingcomputer.com/news/security/mcafee-patches-privilege-escalation-flaw-in-antivirus-software/

白帽匯從事信息安全，專注于安全大數據、企業(yè)威脅情報。

公司產品：FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統(tǒng)、NOSEC-安全訊息平臺。

為您提供：網絡空間測繪、企業(yè)資產收集、企業(yè)威脅情報、應急響應服務。