Une faille de sécurité repérée dans le logiciel antivirus de McAfee
Des chercheurs en cybersécurité ont révélé ce mardi de graves vulnérabilités d’exécution du code qui affecte toutes les éditions du logiciel antivirus édité par la société McAfee. L’équipe de chercheurs en cybersécurité de la société SafeBreach Labs ont révélé que la faille obéissant au nom de code CVE-2019-3648 peut être utilisée pour contourner les mécanismes d’auto-défense prévus par McAfee. De quoi conduire potentiellement à d’autres attaques sur un système que l’on sait désormais compromis.
Pour les chercheurs de la société SafeBreach Labs, cette vulnérabilité résulte notamment d’un problème de chemin d’accès dans lequel wbemprox.dll tente de charger wbemcomn.dll depuis son répertoire de travail, plutôt que son emplacement réel dans le dossier System32. En conséquence de quoi des DLLs arbitraires et non signées peuvent être chargées dans plusieurs services qui s’exécutent en tant que NT AUTHORITY\SYSTEM.
Reste que les attaquants doivent disposer de privilèges d’administrateur pour tirer parti de cette faille de sécurité. Le cas échéant, et comme plusieurs parties du logiciel fonctionnent comme un service Windows avec des permissions au niveau système, l’exécution de code arbitraire peut être réalisée dans le contexte des services McAfee, avec tous les risques potentiels que cela comporte pour la sécurité des utilisateurs du logiciel du géant américain.
publicité
Trois exploitations possibles
Selon SafeBreach Labs, il y a trois façons principales d’exploiter la vulnérabilité dans une chaîne d’attaque. Ce bug permet premièrement aux attaquants de charger et d’exécuter des charges utiles malveillantes à l’aide de services signés multiples dans le contexte du logiciel McAfee. Cette capacité peut, en outre, être utilisée pour contourner la liste blanche des applications et éviter la détection par un logiciel de protection. “L’antivirus pourrait ne pas détecter le binaire de l’attaquant, parce qu’il essaie de le charger sans aucune vérification contre lui”, expliquent les chercheurs.
De plus, un code malveillant peut être configuré pour recharger chaque fois qu’un service est lancé afin de maintenir la persistance sur un système vulnérable. McAfee Total Protection (MTP), Anti-Virus Plus (AVP) et Internet Security (MIS) jusqu’à la version 16.0.R22 incluse sont concernés. La version 16.0.R22 Refresh 1 est disponible pour résoudre le problème de sécurité.
La vulnérabilité a été signalée pour la première fois à McAfee le 5 août par le biais de la plate-forme de bug bounty HackerOne. Le fournisseur de cybersécurité a répondu le 21 août et a confirmé la validité du problème de sécurité le 3 septembre après avoir effectué le triage. Le 8 octobre, McAfee a partagé avec SafeBreach Labs un calendrier de déploiement des correctifs, ce qui a conduit à la réservation du CVE-2019-3648. Contacté par ZDNet, la direction de McAfee n’a pas encore répondu à nos sollicitations à l’heure où ces lignes étaient écrites.
Source : ZDNet.com
