Una nuova vulnerabilità critica riguarda tre edizioni dell’antivirus McAfee: McAfee Total Protection (MTP), Anti-Virus Plus (AVP) e Internet Security (MIS) fino alla versione 16.0.R22 . Il difetto, scoperto da SafeBreach Labs, è stato rilasciato come CVE-2019-3648 – McAfee ha già avuto il tempo di risolvere il problema nella versione 16.0.R22 delle sue applicazioni.

Questo difetto è particolarmente grave perché trasforma l’antivirus in un vettore di attacco. Per questo, l’attaccante deve modificare la macchina target con i privilegi di amministratore, che può ottenere in vari modi, ad esempio ripristinando il login o eseguendo il suo attacco sfruttando altri difetti di sicurezza.

Una DLL scarsamente gestita genera discordia

In particolare, il problema deriva da un bug nella gestione di una DLL antivirus, wbemprox.dll. Questo chiama un’altra DLL, wbemcomn.dll che consente il caricamento nel contesto della sua directory di lavoro piuttosto che un modo esatto e predefinito per una maggiore sicurezza. La libreria non richiede che la DLL sia firmata.

Di conseguenza, sostituendo questa DLL con un file appositamente modificato, è possibile eseguire codice arbitrario in processi critici, gestiti come componenti di sistema di Windows. Gli aggressori possono anche prendere il controllo dell’antivirus e inserire il loro codice dannoso in una lista bianca. O rendere persistente il loro malware all’avvio del computer.

Per risolvere il problema sul tuo computer, si consiglia vivamente di aggiornare il tuo antivirus il prima possibile se non è già così: gli sviluppatori di SafeSearch Labs hanno infatti lasciato abbastanza tempo a McAfee per l’editore può correggere il difetto prima che venga pubblicato.

Lascia un commento

Please Login to comment
avatar