Antivirus McAfee heeft zelf een lek in de bescherming

Drie anti-malwaretools van beveiligingsspecialist McAfee bevatten een kwetsbaarheid, waarmee aanvallers de bescherming kunnen omzeilen en de controle over een pc overnemen. 

Een team van het cybersecuritybedrijf SafeBreach deed de ontdekking afgelopen augustus, aldus The Register. McAfee heeft inmiddels een patch vrijgegeven voor de kwetsbaarheid (CVE-2019-3648). Een rapport over de kwetsbaarheid zelf is nog niet gepubliceerd. 

DLL-bestand

Het beveiligingslek wordt herleid tot een fout in de McAfee-software, waardoor de beveiligingshulpprogramma’s een DLL-bestand (wbemcomn.dll) proberen te laden vanuit het verkeerde bestandspad. Een aanvaller kan hierdoor zijn eigen kwaadaardige versie van wbemcomn.dll schrijven, deze in de map plaatsen waarin de software probeert te zoeken en vervolgens het bestand automatisch laden en uitvoeren zonder controles.

“We vermoedden dat een kwetsbaarheid misbruikt zou kunnen worden als we een willekeurige niet-ondertekende DLL in deze processen zouden kunnen laden. Dit zou ons in staat stellen om het zelfverdedigingsmechanisme van de antivirussoftware te omzeilen. Vooral omdat de mappen van de McAfee-software worden beschermd door een minifilterbestandssysteemstuurprogramma, waardoor zelfs schrijfbewerkingen door een beheerder worden beperkt”, zegt Peleg Hadar, onderzoeker bij SafeBreach Labs. 

Systeemniveau-privileges

Dat komt er in de praktijk op neer dat een aanvaller het beveiligingslek kan gebruiken om opdrachten op de doelcomputer met systeemniveau-privileges uit te voeren. Hierbij hoeft een aanvaller zich geen zorgen te maken dat de anti-malwaretools van McAfee de operatie stoppen. 

Bovendien is het een goede manier voor een aanvaller om persistentie op de machine te krijgen en een herstart te overleven, omdat het DLL-bestand telkens wordt geladen wanneer de beveiligingssuite wordt uitgevoerd.

McAfee adviseert gebruikers en beheerders van McAfee Total Protection, Anti-Virus Plus en Internet Security om hun software bij te werken naar versie 12.0.R22 Refresh 1 of hoger.