-Η Intel Security προχώρησε σε επιδιόρθωση ενός επικίνδυνου bug στο McAfee που επέτρεπε στους επιτιθέμενους την απενεργοποίηση των λειτουργιών προστασίας του Antivirus
-Το κενό ασφάλειας παρέμενε ενεργό για τουλάχιστον 15 μήνες
Η Ιntel Security, η εταιρεία πίσω από το δημοφιλές antivirus McAfee Enterprise, κυκλοφόρησε μια ενημερωμένη έκδοση του λογισμικού, η οποία επιδιορθώνει ένα κρίσιμο κενό ασφάλειας που θα μπορούσε να επιτρέψει σε έναν εισβολέα να απενεργοποιήσει το antivirus στον υπολογιστή του θύματος.
Σύμφωνα με τον Agazzini Maurizio, ερευνητή της συμβουλευτικής εταιρείας ασφάλειας Mediaservice, με πολύ απλά βήματα θα μπορούσε να επιτευχθεί απενεργοποίηση των λειτουργιών προστασίας του McAfee VirusScan Enterprise, επιτρέποντας σε επιτιθέμενους να εγκαταστήσουν κακόβουλο λογισμικό στα συστήματα των χρηστών.
Η ευπάθεια έγκειται σε ένα χαρακτηριστικό που είχε προστεθεί στο engine του McAfee VirusScan, προκειμένου να αποτρέπει τους τοπικούς χρήστες από το να πραγματοποιούν εκ παραδρομής οποιαδήποτε αλλαγή στον κανονικό τρόπο λειτουργίας του.
Οι επιτιθέμενοι μπορούν να παρακάμψουν τον κωδικό πρόσβασης διαχειριστή του McAfee και να απενεργοποιήσουν το antivirus
Από προεπιλογή, το antivirus χρησιμοποιεί έναν κωδικό πρόσβασης όπου οι διαχειριστές καλούνται να εισάγουν, προκειμένου να απενεργοποιήσουν το engine, και συνεπώς τις λειτουργίες προστασίας του Mc Afee VirusScan.
Ο κ Maurizio ανακάλυψε ότι η λειτουργία αυτή δεν έχει εφαρμοστεί σωστά, επιτρέποντας στους επιτιθέμενους να παρακάμψουν τον κωδικό πρόσβασης διαχειριστή.
“H κονσόλα McAfee VirusScan ελέγχει τον κωδικό πρόσβασης και ζητά από τη μηχανή του προγράμματος έγκριση προκειμένου να ξεκλειδώσει τα ασφαλή registry keys”, εξηγεί ο κ. Maurizio στην ιστοσελίδα της Mediaservice. “Ωστόσο κανένας έλεγχος δεν διενεργείται από την ίδια τη μηχανή, έτσι ώστε ο καθένας μπορεί να ζητήσει άμεσα από το engine να σταματήσει, χωρίς καν να γνωρίζει το σωστό διαχειριστικό κωδικό πρόσβασης”.
Επιπλέον, ο ερευνητής δημιούργησε ένα εργαλείο όπου αλλάζει αυτόματα τα απαιτούμενα κλειδιά μητρώου, έτσι ώστε ο εισβολέας να μπορεί να απενεργοποιήσει το antivirus χωρίς την εισαγωγή του κωδικού πρόσβασης.
Αν λάβουμε υπόψη το πόσο εύκολο είναι να αυτοματοποιηθεί η όλη διαδικασία μέσω PowerShell εντολών, η επίθεση ανοίγει μια μεγάλη τρύπα στην άμυνα της McAfee.
Όπως προσθέτει ο ερευνητής, η συγκεκριμένη απειλή είναι παρούσα μόνο αν ο εισβολέας καταφέρει να αποκτήσει δικαιώματα διαχειριστή σε ένα μολυσμένο μηχάνημα. Σε κάθε άλλη περίπτωση η επίθεση δεν μπορεί να πραγματοποιηθεί.
[alert variation=”alert-success”]Οι χρήστες που διαθέτουν την έκδοση Enterprise του McAfee VirusScan θα πρέπει να αναβαθμίσουν στο update SB10151 για την αντιμετώπιση του ζητήματος. Όλες οι εκδόσεις του VirusScan Enterprise που είναι προγενέστερες της έκδοσης 8,8 επηρεάζονται από την ευπάθεια.[/alert]
