申博官网下载:CVE-2019-3648破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

申博官网下载:CVE-2019-3648破绽剖析

申博_安全预警 申博 96次浏览 已收录 0个评论

申博开户

朋友聚会大家都低头玩手尴尬现场,想玩桌游人不热情且麻烦,申博官方网站来帮你。里面含有不同场景各种各样的游戏,聚会玩手机不如在手机里和朋友一起玩游戏,申博开户简单方便,短短几秒的时间就好了。朋友聚会上班没时间,请假舍不得,申博官网来帮你。菲律宾申博官方网站是品牌人气网站,休闲娱乐时间赚大钱。边游戏,边赚钱,朋友聚会的最佳选择。

,

SafeBreach Labs平安研讨人员在McAfee反病毒软件一切版本中发明了一个新的破绽。本文将证实怎样应用该破绽来绕过McAfee的自防备机制,并加载恣意未署名的DLL到多个以NT AUTHORITY\SYSTEM运转的效劳中来完成防备绕过和驻留。

注:为胜利应用该破绽,攻击者须要有administrator管理员权限。

McAfee Total Protection

McAfee Total Protection供应病毒、身份和隐私庇护等多个功用。该软件的多个组成部分以NT AUTHORITY\SYSTEM权限的Windows效劳的情势运转,权限很大。

破绽

破绽发明

研讨人员发明以署名的历程和NT AUTHORITY\SYSTEM权限运转的McAfee软件的多个效劳尝试加载 c:\Windows\System32\wbem\wbemcomn.dll。然则该DLL文件位于System32文件夹,而非System32\Wbem:

申博官网下载:CVE-2019-3648破绽剖析

研讨人员猜想假如能够加载恣意未署名的DLL到这些历程中那末这就是一个破绽。然后应用该破绽能够绕过杀毒软件的自防备机制,由于McAfee软件的文件夹都是由mini-filter文件体系驱动举行庇护的,这就限定了写操纵。

假如mini-filter文件体系驱动是有用的,纵然以administrator运转并植入不存在的DLL加载到McAfee的历程中,也没法完成。

PoC

为了测试该破绽,研讨恣意编译了一个原始wbemcomn.dll DLL文件的(未署名的)代办DLL,然后将以下内容写入txt文件的文件名中:

·加载他的历程名

·实行它的用户名

·DLL文件名

然后植入到C:\Windows\System32\Wbem,重启计算机:

 申博官网下载:CVE-2019-3648破绽剖析申博官网下载:CVE-2019-3648破绽剖析申博官网下载:CVE-2019-3648破绽剖析

 

研讨人员能够加载恣意的DLL,并在多个McAfee、LLC署名的NT AUTHORITY\SYSTEM权限的历程中实行(研讨人员植入的)代码,终究绕过顺序的自防护机制。

泉源剖析

有多个文件的多个组件都能够会激发该题目。研讨人员剖析了能够激发该破绽的个中一个题目,由于破绽的泉源都是相似的。

企业端安全如何防护?面对Coinbase交易所被攻破,值得所有安全厂商沉思

【导读】前段时间,数字货币交易中心Coinbase爆出被黑事件。攻击者以钓鱼邮件方式向Coinbase员工私人邮箱发送电子邮件,完成前期潜伏、渗透工作后;在某个时机,攻击者以两个 Firefox 0day 漏洞发动“猛攻”。虽然,Coinbase Security 很快检测到并阻止了该攻击。但值得注意的是,这场针对交易所企业“精心蓄谋”的攻击,却是从员工个人入口“破门而入”,完全绕过了基于企业数据搭建起来的封闭防御系统。而这,不仅引发了诸多安全厂商的反思,它也引发了一个新的命题:个人端的完整数据对未来企业端安全的重要性。 拥有近乎固若金汤的安全数据与防御系统,Coinbase为何仍难逃被攻击厄运? 今年8月,

一旦“McAfee Module Core Service” (ModuleCoreService.exe)启动后,就会加载mcutil.dll库。为了猎取指向 IWbemServices接口的初始定名空间指针和在计主机上实行WMI操纵,mcutil.dll运用CoCreateInstance能够初始化IWbemLocator接口的一个COM对象。

申博官网下载:CVE-2019-3648破绽剖析

剖析CLSID注册表发明,该COM类是在C:\Windows\System32\wbem\wbemprox.dll库中完成的,也就是说COM对象初始化后,该库就会被加载,导出的DllGetClassObject函数也会被挪用:

 申博官网下载:CVE-2019-3648破绽剖析

一旦wbemprox.dll库的DllGetClassObject函数被挪用,导入的CWin32DefaultArena::WbemMemAlloc 函数就会被屡次挪用:

 申博官网下载:CVE-2019-3648破绽剖析

能够看到该函数是从wbemcomn.dll导入的,这会致使该效劳尝试加载该DLL。

 申博官网下载:CVE-2019-3648破绽剖析

研讨人员剖析以为该破绽的泉源有两个:

一是没有对二进制文件举行数字署名有用性考证。顺序并没有考证加载的DLL是不是是署名的。因而,能够加载恣意未署名的DLL。

二是wbemprox.dll尝试从当前工作目次C:\Windows\System32\Wbem导入wbemcomn.dll,而文件实在位于System32文件夹。

潜伏歹意应用和影响

下面是攻击者能够应用该破绽的三种体式格局:

防护绕过、署名实行和白名单绕过

该破绽能够让攻击者在McAfee的署名历程中运用多个未署名的效劳来加载和实行歹意payload。攻击者应用该功用能够实行多种歹意操纵,比方实行和绕过以及白名单绕过。杀毒软件能够不会检测到攻击者的二进制文件,由于它会尝试在没有任何考证的情况下加载。

驻留机制

攻击者应用该破绽还能够在每次效劳加载时,以驻留的体式格局加载和实行歹意payload。也就是说,攻击者释放了歹意DLL后,效劳就会在每次效劳重启时加载歹意代码。

受影响的版本

受影响的产物包含

McAfee Total Protection (MTP)

McAfee Anti-Virus Plus (AVP)

McAfee Internet Security (MIS)

受影响的版本包含16.0.R22及以下

本文翻译自:https://safebreach.com/Post/McAfee-All-Editions-MTP-AVP-MIS-Self-Defense-Bypass-and-Potential-Usages-CVE-2019-3648


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明申博官网下载:CVE-2019-3648破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址