McAfee 杀毒软件被曝严重的不明代码执行漏洞，影响所有版本

研究人员指出，McAfee 软件中存在一个严重的代码执行漏洞，影响该软件的所有版本。

本周二，SafeBreachLabs 的网络安全团队表示，该漏洞（CVE-2019-3648）可用于绕过 McAfee 资方与机制，可能导致受攻陷系统遭其它攻击。

出现该漏洞的原因在于未能验证加载的 DLL 是否已签名，以及存在一个路径问题：wbemprox.dll 试图从工作目录中加载 wbemxomn.dll，而不是从 System32 文件夹中的实际位置加载。

结果，任意未签名的 DLL 可被加载到多种以 NTAUTHORITY\SYSTEM 身份运行的服务中。

攻击者需要具备管理员权限才能利用这个漏洞。然而，如具备这种权限，因为杀毒软件的多个部分都是以系统级别的权限当 Windows 服务运行，因此能够在 McAfee 服务的上下文中执行任意代码。

SafeBreach Labs 表示，在攻击链中利用该漏洞的方式主要有三种。该漏洞可使攻击者在 McAfee 软件上下文中通过使用多种签名服务加载并执行恶意payload，而这种能力可被用于绕过应用程序白名单并避免软件检测。研究人员指出，“该杀毒软件可能无法检测到攻击者的二进制，因为它试图在未执行验证的前提下进行加载。”另外，每次启动服务时可以重新加载恶意代码，以便维持在易受攻击系统上的持久性。

McAfee Total Protection (MTP)、Anti-irus Plus (AVP) 和 Internet Security (MIS) 版本 16.0.R22 及之前版本均受影响。目前McAfee 正在发布 16.0.R22 Refresh 1 来解决该问题。

这个漏洞是安全研究员在8月份通过HackerOne 漏洞奖励平台报告的。8月21日，McAfee予以回应并在9月3日证实该问题是有效的。10月8日，McAfee和SafeBreach Labs 共享修复方案部署时间线，因此 CVE-2019-3648 是“保留”状态。

目前，McAfee公司尚未置评。