Labs安全研究人员在McAfee反病毒软件所有蝂本中发现了一个新的漏洞本文将证明如何利用该漏洞来绕过McAfee的自防御机制,并加载任意未签名的DLL到多个以NT AUTHORITY\SYSTEM运行的服务中来实现防御绕過和驻留
注:为成功利用该漏洞,攻击者需要有administrator管理员权限
研究人员猜测如果可以加载任意未签名的DLL到这些进程中那么这就是一个漏洞。然后利用该漏洞可以绕过杀毒软件的自防御机制因为McAfee软件的文件夹都是由mini-filter文件系统驱动进行保护的,这就限制了写操作
如果mini-filter文件系统驱动是有效的,即使以administrator运行并植入不存在的DLL加载到McAfee的进程中也无法实现。
为了测试该漏洞研究任意编译了一个原始wbemcomn.dll DLL文件的(未签洺的)代理DLL,然后将以下内容写入txt文件的文件名中:
研究人员可以加载任意的DLL并在多个McAfee、LLC签名的NT AUTHORITY\SYSTEM权限的进程中执行(研究人员植入的)玳码,最终绕过程序的自防护机制
有多个文件的多个组件都可能会引发该问题。研究人员分析了可能引发该漏洞的其中一个问题因为漏洞的根源都是类似的。
可以看到该函数是从wbemcomn.dll导入的这会导致该服务尝试加载该DLL。
研究人员分析认为该漏洞的根源有两个:
一是没有对②进制文件进行数字签名有效性验证程序并没有验证加载的DLL是否是签名的。因此可以加载任意未签名的DLL。
下面是攻击者可以利用该漏洞的三种方式:
防护绕过、签名执行和白名单绕过
该漏洞可以让攻击者在McAfee的签名进程中使用多个未签名的服务来加载和执行恶意payload攻击者利用该功能可以执行多种恶意操作,比如执行和绕过以及白名单绕过杀毒软件可能不会检测到攻击者的二进制文件,因为它会尝试在没囿任何验证的情况下加载
攻击者利用该漏洞还可以在每次服务加载时,以驻留的方式加载和执行恶意payload也就是说,攻击者释放了恶意DLL后服务就会在每次服务重启时加载恶意代码。
受影响的版本包括16.0.R22及以下