Специалисты из SafeBreach обнаружили баг CVE-2019-3648, затрагивающий решения McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP) и McAfee Internet Security (MIS).
Продукты McAfee пытаются загрузить файл DLL (wbemcomn.dll), используя неверный путь к файлу, и злоумышленники получают возможность создать собственную вредоносную версию wbemcomn.dll. Затем поместить её в каталог, где антивирус пытается обнаружить файл. Это приведёт к загрузке файла и его запуску без проверок.
Для эксплуатации уязвимости нужны права администратора – в этом случае баг позволяет обойти защитные механизмы антивирусов McAfee и загрузить неподписанные DLL в различные службы, работающие с правами NT AUTHORITY\SYSTEM. Это обеспечит хакеру устойчивое присутствие в системе, ведь вредоносный код из DLL будет выполняться с каждым перезапуском служб.
Исследователи сообщили в McAfee о проблеме ещё в августе, и уязвимость была устранена. Пользователям уязвимых продуктов рекомендуется обновиться до версии 16.0.R22 Refresh 1.
.png)