McAfee防毒軟體爆權限升級漏洞，可讓駭客執行攻擊程式

研究人員發現所有版本的McAfee防毒軟體存在一項權限升級漏洞，可讓駭客取得管理員權限執行攻擊或接管系統。

編號CVE-2019-3648的漏洞能讓駭客繞過McAfee自我防護機制，下載未經簽章的惡意DLL檔案到以系統權限執行的多項服務中，以進行檔案刪改、植入資料竊取程式或是接管整個系統等攻擊。

受影響產品擴及16.0.R22版以前所有McAfee防毒軟體，包括McAfee Total Protection (MTP)、McAfee Anti-Virus Plus (AVP)、 McAfee Internet Security (MIS)。研究人員通報後，McAfee在周二發佈安全公告，並會透過自動更新發佈修補程式。

安全廠商SafeBreach 研究人員Peleg Hadar發現，McAfee多項服務以NT AUTHORITY\SYSTEM帳號執行，又作為已簽發行程身份執行。這些服務企圖從當前工作目錄（current working directory，CWD）System32\Wbem、而非從實際所在位置（System 32）載入DLL檔，卻又未驗證DLL檔是否由數位憑證簽發。這就形成一個漏洞，讓駭客得以將未簽發的任意DLL檔注入到這些合法行程中，中間繞過McAfee原有保護資料夾的mini-filter檔案系統驅動程式的機制得逞。

在概念驗證攻擊中，研究人員成功將一個未簽發的代理伺服器DLL程式下載到多個McAfee產品的已簽發行程中執行。研究人員表示，這項漏洞可被駭客用作各種迴避及執行目的，像是繞過應用程式的白名單檢測，使McAfee不主動偵測攻擊程式的binary。還能獲致持續攻擊之效，在每次服務啟動時下載及執行惡意程式，也就是說，只要攻擊者植入一次惡意DLL檔，每次McAfee服務重新啟動時都會下載惡意程式碼。

本漏洞風險分數被列為中度。研究人員8月初通報McAfee後，後者於9月中證實。所有受影響的McAfee產品都會透過廠商自動更新機制升級到最新版。

此前趨勢科技、CheckPoint、Bitdefender、Avira、Avast，也都出現過防毒產品本機權限升級的安全漏洞。