McAfee-antivirus bevat ernstige code execution-fout

Stay tuned, abonneer!

De antivirussoftware van McAfee blijkt een ernstige code execution-fout te bevatten. Met de fout kunnen de zelfverdedigingsmechanismes van de software omzeild worden, waardoor er mogelijk verdere aanvallen uitgevoerd kunnen worden op een gecompromitteerd systeem. 

De fout, gevolgd onder CVE-2019-3648, werd ontdekt door een cybersecurity-team van SafeBreach, meldt ZDNet. De kwetsbaarheid is ontstaan doordat niet gevalideerd wordt of ladende DLL’s ondertekend zijn en door een path-probleem bij het laden van een specifieke DLL uit de System32-map.

Aanvallers die misbruik willen maken van de fout moeten wel administrator-privileges hebben. Lukt dat, dan kan eigen code uitgevoerd worden in de context van McAfee-diensten. Dit is mogelijk omdat meerdere delen van de software als een Windows-dienst met system-level toestemmingen draaien.

De fout werd al op 5 augustus bij McAfee gemeld via het HackerOne bug bounty-platform. Op 21 augustus reageerde McAfee en op 3 september werd de kwetsbaarheid door het bedrijf bevestigd. Op 8 oktober werd een tijdlijn gedeeld om de fout op te lossen, waarna de CVE-code werd gereserveerd. Inmiddels wordt een oplossing uitgerold.

Drie soorten misbruik

Bij een aanvalsketen kan de fout volgens SafeBrach Labs op drie manieren misbruikt worden. Een eerste optie laat aanvallers malafide payloads laden en uitvoeren aan de hand van meerdere gesigneerde diensten in de context van McAfee-software.

Die mogelijkheid kan ook gebruikt worden om applicaties te whitelisten, waardoor kwaadaardige applicaties geïnstalleerd kunnen worden zonder dat de software dit door heeft. Daarnaast kan de malafide code zo ingesteld worden zodat die steeds opnieuw laadt als een dienst opgestart wordt. Op die manier blijft de malafide code aanwezig op een systeem, ook als dat opnieuw opgestart wordt.

Welke software is getroffen?

De kwetsbaarheid komt voor in een groot deel van de McAfee-software. Alle versies van McAfee Total protection, Anti-Virus Plus en Internet Security tot en met versie 16.0.R22 bevatten de fout. McAfee brengt nu versie 16.0.R22 Refresh 1 uit om het probleem op te lossen.