{"id":224761,"date":"2019-11-13T00:10:00","date_gmt":"2019-11-12T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224761"},"modified":"2023-08-20T16:24:39","modified_gmt":"2023-08-20T14:24:39","slug":"mcafee-patcht-schwachstelle-in-antivirus-produkten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/13\/mcafee-patcht-schwachstelle-in-antivirus-produkten\/","title":{"rendered":"McAfee patcht Schwachstelle in Antivirus-Produkten"},"content":{"rendered":"

[English<\/a>]McAfee musste in allen Editionen seiner Antivirensoftware f\u00fcr Windows eine Local Privlege Escalation-Schwachstelle (LPE) patchen, mit der potenzielle Angreifer SYSTEM-Berechtigungen erhalten konnten.<\/p>\n

<\/p>\n

\"\"Betroffen vom Local Privlege Escalation-Bug sind McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP) und McAfee Internet Security (MIS) bis einschlie\u00dflich Version 16.0.R22.<\/p>\n

CVE-2019-3648: DLL-Hijacking<\/h2>\n

Der LPE-Bug CVE-2019-3648<\/a> erfordert allerdings, dass Angreifer laut SafeBreach Labs-Sicherheitsforscher Peleg Hadar, der die Schwachstelle entdeckt hat<\/a>, Administratorrechte f\u00fcr die Ausnutzung besitzen. Nur dann lassen sich die DLLs in die betreffenden Verzeichnisse speichern. Das werden viele Nutzer als unproblematisch abtun. Aber die Schwachstelle erm\u00f6glicht es Angreifern den Self-Defense-Mechanismus von McAfee zu umgehen, indem eine beliebige unsignierte DLL in mehrere Dienste geladen wird, die als NT AUTHORITY\\SYSTEM laufen.<\/p>\n

Das Problem ist mal wieder DLL-Hijacking, bei dem die DLL-Suchreihenfolge genutzt wird, um DLLs auf einer bereits infiltrierten Maschine durch Systemdienste laden zu lassen und so deren Berechtigungen zu erhalten. Im konkreten Fall fiel bei der Untersuchung der Produkte auf, dass mehrere, als signierte Prozesse und als NT AUTHORITY\\SYSTEM laufende, McAfee-Dienste versuchen,<\/p>\n

c:\\Windows\\System32\\wbem\\wbemcomn.dll<\/p>\n

zu laden. Diese Datei wird aber nicht gefunden, da sie sich in System32 <\/u><\/em>und nicht im Ordner System32\\Wbem <\/em>befindet. Die folgende Grafik zeigt die vergeblichen Versuche, die DLL zu laden.<\/p>\n

\"wbemcomn.dll<\/a><\/p>\n

Die Sicherheitsforscher vermuteten, dass dieser Fehler ausgenutzt werden kann, um eine\u00a0 beliebige unsignierte DLL in diese Prozesse zu laden. Dies erm\u00f6glicht die Schutzmechanismen von McAfee zu umgehen und gleichzeitig mit der DLL NT AUTHORITY\\SYSTEM-Berechtigungen zu erhalten.<\/p>\n

Ein Proof of Concept<\/h2>\n

Im Rahmen eines Proof of Concept (PoC) haben die Sicherheitsforscher eine unsignierte Proxy-DLL, die die urspr\u00fcnglichen wbemcomn.dll-Funktion aufruft, kompiliert. Diese DLL soll zus\u00e4tzlich den Namen des ladenden Prozesses, den Benutzernamen, der die Datei aufgerufen hat und den Namen der DLL-Datei in eine txt-Datei schreiben.<\/p>\n

Die Proxy-DLL wurde dann in C:\\Windows\\System32\\Wbem<\/em> abgelegt (was Administator-Berechtigungen erfordert) und der Computer neu gestartet. Es war den Sicherheitsforschern m\u00f6glich, auf diese Weise eine beliebige DLL zu laden und eigenen Code im Kontext mehrerer McAfee-Prozesse auszuf\u00fchren, die NT AUTHORITY\\SYSTEM laufen. Das bedeutet, dass die Schutzma\u00dfnahmen von McAfee ausgehebelt wurden. Die Schwachstelle gibt Angreifern die M\u00f6glichkeit, b\u00f6sartigen Schadcode jedes Mal, wenn die Dienste geladen werden, dauerhaft mit zu laden und auszuf\u00fchren. Betroffene Versionen sind:<\/p>\n