포스팅 내용

국내외 보안동향

McAfee에서 DLL 하이재킹을 허용하는 CVE-2019-3648 취약점 발견

CVE-2019-3648 flaw in all McAfee AV allows DLL Hijacking


SafeBreach의 연구원들이 McAfee 안티바이러스 소프트웨어에서 관리자 권한을 가진 공격자가 권한을 상승시켜 SYSTEM 권한으로 코드를 실행하도록 허용하는 취약점인 CVE-2019-3648을 발견했습니다.


이 취약점은 McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP), McAfee Internet Security (MIS) 16.0.R22를 포함한 모든 버전에 존재합니다.


공격자가 CVE-2019-3648 취약점을 악용할 경우 서명되지 않은 DLL을 NT AUTHORITY\SYSTEM로써 실행되는 서비스 다수에 로드할 수 있게 됩니다.


“이 취약점은 McAfee의 자가 방어 메커니즘을 우회하고 서명되지 않은 임의 DLL을 NT AUTHORITY\SYSTEM로써 실행되는 서비스 다수에 로드하여 방어를 회피하고 지속성을 유지할 수 있게 됩니다.”


“해당 소프트웨어의 여러 부분이 “NT AUTHORITY\SYSTEM”으로써 실행되어 매우 강력한 권한을 가집니다.”

“이 취약점을 악용할 경우 McAfee 서비스 다수의 콘텍스트에서 임의 코드를 실행하여 NT UTHORITY\SYSTEM 수준 권한을 얻을 수 있게 됩니다.” 


연구원들은 McAfee 소프트웨어의 여러 서비스가 c:\Windows\System32\wbem\wbemcomn로부터 라이브러리를 로드하려 시도한다는 것을 발견했습니다. 하지만 라이브러리의 위치는 System32\Wbem가 아닌 System32기 때문에 해당 경로에서는 찾을 수 없었습니다. 


공격자는 wbem 폴더에 ‘wbemcomn.dll’이라는 이름의 악성 DLL을 생성해 실행되도록 할 수 있습니다. 


전문가들은 McAfee 제품이 DLL 파일의 디지털 서명을 확인하지 않기 때문에 안티바이러스 메커니즘을 우회하는 것이 가능하다고 설명합니다. 


연구원들은 wbemcomn.dll의 원본 DLL파일에서 서명되지 않은 Proxy DLL을 컴파일링 하여 취약점을 테스트했습니다. 


“우리는 임의 DLL을 로드하고 McAfee, LLC에서 서명하고 NT AUTHORITY\SYSTEM로써 실행되는 프로세스 다수 내에서 우리 코드를 실행할 수 있었습니다. 그 결과 이 프로그램의 자가 방어 메커니즘을 우회하는 데 성공할 수 있었습니다.” 


연구원들은 지난 8월 이 취약점을 McAfee 측에 제보했으며, McAfee는 11월 12일 이와 관련된 보안 권고 및 문제를 수정하는 패치를 발표했습니다. McAfee는 이 공격이 아직까지 실제 공격에 활용된 사례는 찾을 수 없었다고 밝혔습니다. 


SafeBreach는 Trend Micro, Check Point, Bitdefender, AVG, Avast 등 다른 보안 제품에서도 유사한 문제를 발견했다고 밝혔습니다.



출처:

https://securityaffairs.co/wordpress/93834/breaking-news/cve-2019-3648-mcafee-av-flaw.html

https://safebreach.com/Post/McAfee-All-Editions-MTP-AVP-MIS-Self-Defense-Bypass-and-Potential-Usages-CVE-2019-3648

티스토리 방명록 작성
name password homepage