lunes, 14 de marzo de 2016

Vulnerabilidad en VirusScan de McAfee

Tras el conocimiento de la vulnerabilidad que afecta a VirusScan de McAfee se pasaron a realizar pruebas.

Antes de nada se procede a realizar una descripción somera de la vulnerabilidad:

Objetivo: La vulnerabilidad consiste en deshabilitar la clave que bloquea las modificaciones del susodicho VirusScan.

Permisos: Para llevar a cabo la explotación de la vulnerabilidad se necesita realizar el ataque utilizando un usuario con permisos de Administrador sobre la máquina.


Para dichas pruebas se han utilizado dos sistemas, un Windows 7 y un Windows XP.
Las pruebas se han realizado de manera manual y mediante un exploit.

NOTA:    Para realizar la prueba manual se ha tenido en cuenta la siguiente noticia:
NOTA:    Exploit: https://lab.mediaservice.net/code/mcafee_unprotector.c

                El código ha tenido que ser modificado en parte debido a errores en la compilación.

                Habría que cambiar las siguientes líneas marcadas en rojo:


Primer conjunto de líneas


Segundo conjunto de líneas

                Por la siguiente línea:

SOFTWARE\\Wow6432Node\\McAfee\\DesktopProtection

La versión de VirusScan utilizada para las pruebas ha sido la: 8.8.0 (Parche 6), que es la más actual sin tener en cuenta el nuevo parche de McAfee (parche 7)


Versión de VirusSCan .

Windows XP - Manualmente

Para este propósito se buscan los procesos que utilicen la clave de registro “HKEY_LOCAL_MACHINE\SOFTWARE \Mcafee\DesktopProtection”



Búsqueda de los procesos que utilizan la clave de registro “HKEY_LOCAL_MACHINE\SOFTWARE \Mcafee\DesktopProtection”

El siguiente paso es parar los procesos:

1.- mfeann.exe
2.- VsTskMgr.exe
3.- McTray.exe

En esta tarea nuestro intento de explotación se detiene debido a que no tenemos permisos para parar todos los procesos anteriormente indicados.


Intento de parar el proceso: mfeann.exe



Intento de parar el proceso: mfeann.exe



Intento de parar el proceso: VsTskMgr.exe



Intento de parar el proceso: VsTskMgr.exe


Los procesos anteriores no se pueden detener debído a que, incluso siendo administrador de la máquina, no se tienen permisos para ello. Para poder pararlos se necesitaría tener los permisos del usuario: “system”.

NOTA: El usuario System es el utilizado por el propio sistema operativo.


Usuario que lanza el proceso: mfeann.exe




Usuario que lanza el proceso: VsTskMgr.exe

Windows XP – Automático

Para este proceso se ha utilizado un exploit publicado recientemente, tal y como se ha comentado anteriormente.

Por este método se ha conseguido explotar la vulnerabilidad y conseguir eliminar la necesidad de utilizar una contraseña para poder modificar las características de VirusScan



Antes del uso del exploit


Después del uso del exploit.
Podemos parar el analizador en tiempo real sin necesidad de credenciales

Windows 7 - Manualmente

Se van a seguir la misma operativa que la utilizada en el sistema Windows XP.

Lo primero que se ve es la inexistencia de procesos que utilicen la clave de registro “HKEY_LOCAL_MACHINE\SOFTWARE \Mcafee\DesktopProtection” o parecida.


Resultados de la búsqueda comentada anteriormente


Aún así se pasa a comprobar si es posible parar los mismos procesos vistos en la máquina con Windows XP. Pero ni siquiera se puede ver el usuario que los ha lanzado, por lo que se puede decir que este método de explotación tampoco funciona


Proceso padre y propiedades del proceso: mfeann.exe



Windows 7 – Automático


Para este proceso se ha utilizado un exploit publicado recientemente.

NOTA: El código ha tenido que ser modificado en parte debido a errores en la compilación.

Por este método NO se ha conseguido explotar la vulnerabilidad y conseguir eliminar la necesidad de utilizar una contraseña para poder modificar las características de VirusScan


Resultado de lanzar el exploit en sistemas Windows 7

CONCLUSIONES

Por lo que se ha podido comprobar la explotación de la vulnerabilidad depende enteramente del sistema operativo que se utilice y de que el usuario que lo lance sea administrador de la máquina.

Se sugiere crear una regla que evite, en sistemas Windows XP, cambiar el valor de la siguiente clave de registro:

“HKEY_LOCAL_MACHINE\SOFTWARE\Mcafee\DesktopProtection\UIPMode”
“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mcafee\DesktopProtection\UIPMode”

Como comentario final indicara que las pruebas no se han realizado sobre sistemas Windows 8 ni sistemas Windows 10.

No hay comentarios:

Publicar un comentario