McAfee : l’antivirus a une énorme faille de sécurité
L'antivirus McAfee est victime d'une énorme faille de sécurité qui permet de contourner les mécanismes d'autodéfense du logiciel sur Windows. Et d'exécuter du code arbitraire dans le contexte des services McAfee.
Une nouvelle faille critique touche trois éditions de l'antivirus McAfee : McAfee Total Protection (MTP), Anti-Virus Plus (AVP) et Internet Security (MIS) jusqu'à la version 16.0.R22. La faille, découverte par SafeBreach Labs a été publiée sous la référence CVE-2019-3648 – McAfee a déjà eu le temps de corriger le problème dans la version 16.0.R22 Refresh 1 de ses applications.
Cette faille est particulièrement grave car elle transforme l'antivirus en un vecteur d'attaque. Pour cela, l'attaquant doit modifier la machine cible avec des privilèges administrateur – qu'il peut obtenir de diverses manières, par exemple en récupérant le login, ou en menant son attaque en exploitant d'autres failles de sécurité.
Une DLL mal gérée sème la zizanie
Concrètement, le soucis vient d'un bug dans la gestion d'une DLL de l'antivirus, wbemprox.dll. Celle-ci appelle une autre DLL, wbemcomn.dll dont elle permet le chargement dans le contexte de son répertoire de travail plutôt qu'un chemin exact et prédéfini pour plus de sécurité. La librairie ne requiert par ailleurs pas que la DLL soit signée.
Du coup, en remplaçant cette DLL par un fichier spécialement modifié, il est possible d'exécuter du code arbitraire dans des processus critiques, gérés comme des composants système de Windows. Les attaquants peuvent également prendre contrôle de l'antivirus et mettre leur code malicieux sur liste blanche. Ou encore rendre leur malware persistant au démarrage de l'ordinateur.
Lire également : John McAfee veut révéler qui est le vrai fondateur du bitcoin
Pour régler le problème sur votre machine, il est vivement recommandé de mettre à jour votre antivirus au plus vite si ce n'est pas déjà le cas : les développeurs de SafeSearch Labs ont en effet laissé suffisamment de temps à McAfee pour que l'éditeur puisse corriger la faille, avant que cette dernière ne soit publiée.
Source : ZDNet