McAfee Antivirus Ürünlerindeki Zafiyet DLL Hijacking’e İzin Veriyordu

SafeBreach güvenlik araştırmacıları, McAfee virüsten koruma yazılımındaki güvenlik açığının bir saldırganın savunma mekanizmalarını atlatmasına ve kalıcı olmasını sağlamasına olanak veren bir açık keşfettiler.

Güvenlik kusuru, imzasız DL’leri NT AUTHORITY\SYSTEM olarak çalışan birden çok hizmete yüklemek için kötüye kullanılabilir. Ancak bu sömürü, saldırganın yönetici ayrıcalıklarına sahip olmasını gerektirir.

SafeBreach, antivirüs çözümlerinin  sistemde güçlü izinlere sahip araçlar olduğunu ve “NT AUTHORITY \ SYSTEM” olarak çalıştırılan bir Windows hizmeti olarak çalıştıklarını açıkladı .

Etkilenen süreçler, güvenlik araştırmacılarının keşfettiğini, C: \ Windows \ System32 \ wbem \ wbemcomn.dll yolundan bir dosya yüklemeye çalıştığını belirtti . Ancak, DLL, System32 klasöründe bulunduğundan işlem gerçekleşmez.

Bununla birlikte, bu mekanizma, wbemcomn.dll adı altında, dosyalarını wbem klasörüne yerleştirerek kötü amaçlı bir DLL dosyası yüklemek için bir saldırgan tarafından kullanılabilir .

McAfee yazılımı tarafından yüklenen imzasız bir kitaplığa sahip olmak, kullanıcıların ve hatta yöneticilerin bile klasörlere yazmasını önleyen antivirüsün kendini savunma mekanizmasının atlanmasına neden olur.

Baypas’ı mümkün kılan diğer bir sorun, antivirüsün DLL dosyasına karşı dijital imza doğrulaması yapmamasıdır.

Araştırmacılar “Güvenlik açığı, saldırganlara hizmetlerin her yüklenişinde kötü niyetli yükleri kalıcı bir şekilde yükleme ve yürütme yeteneği verir. Bu, saldırganın kötü amaçlı bir DLL’i yüklemesi üzerine, hizmetlerin her yeniden başlatılmasında hizmetlerin kötü amaçlı kodu yükleyeceği anlamına gelir ”dediler.

CVE-2019-3648 olarak izlenen bu güvenlik açığı McAfee Total Protection’ı (MTP), McAfee Anti-Virus Plus’ı (AVP) ve McAfee Internet Security’yi (MIS) etkiler.

Ağustos ayında güvenlik hatasını öğrenen McAfee zaten bir düzeltme eki yayınladı ve saldırılarda yararlanılan güvenlik açığının farkında olmadığını söyledi.

“Bu güncelleştirmeden önce MTP, AVP ve MIS bu üçüncü taraf dosyalarının doğru dijital imzalara sahip olup olmadığını ve doğru konumdan yüklendiğini kontrol etmiyordu. Bu, bilgisayara yönetim izinleri olan bir saldırganın kötü amaçlı programlarını belirli konumlara yerleştirmesine izin verebilir ve MTP, AVP ve MIS programları bunları yükleyebilir ve çalıştırabilir.”.

Birkaç hafta önce SafeBreach, Avast, AVG ve Avira’daki antivirüs ürünlerinin, aynı şekilde yönetici ayrıcalıklarına sahip saldırganlar tarafından istismar edilen DLL güvenlik açığından etkilendiğini  ortaya çıkarmıştı .

About The Author

Reply