Tras el conocimiento de la vulnerabilidad que afecta a VirusScan de
McAfee se pasaron a realizar pruebas.
Antes de nada se procede a realizar una descripción somera de la vulnerabilidad:
Objetivo: La vulnerabilidad consiste
en deshabilitar la clave que bloquea las modificaciones del susodicho
VirusScan.
Permisos: Para llevar a cabo la
explotación de la vulnerabilidad se necesita realizar el ataque utilizando un
usuario con permisos de Administrador sobre la máquina.
Para dichas pruebas se han utilizado dos sistemas, un Windows 7 y un
Windows XP.
Las pruebas se han realizado de manera manual y mediante un exploit.
NOTA: Para realizar la prueba manual se ha tenido en cuenta la siguiente
noticia:
NOTA: Exploit: https://lab.mediaservice.net/code/mcafee_unprotector.c
El código ha
tenido que ser modificado en parte debido a errores en la compilación.
Habría que cambiar las siguientes líneas marcadas en rojo:
Primer conjunto de líneas
Segundo conjunto de líneas
Por la siguiente
línea:
SOFTWARE\\Wow6432Node\\McAfee\\DesktopProtection
La versión de VirusScan utilizada
para las pruebas ha sido la: 8.8.0 (Parche
6), que es la más actual sin tener en cuenta el nuevo parche de McAfee
(parche 7)
Windows XP - Manualmente
Para este propósito se buscan los procesos que utilicen la clave de
registro “HKEY_LOCAL_MACHINE\SOFTWARE \Mcafee\DesktopProtection”
Búsqueda de los procesos que utilizan la clave de registro
“HKEY_LOCAL_MACHINE\SOFTWARE \Mcafee\DesktopProtection”
El siguiente paso es parar los procesos:
1.- mfeann.exe
2.- VsTskMgr.exe
3.- McTray.exe
En esta tarea nuestro intento de explotación se detiene debido a que no
tenemos permisos para parar todos los procesos anteriormente indicados.
Intento de parar el proceso: mfeann.exe
Intento de parar el proceso: mfeann.exe
Intento de parar el proceso: VsTskMgr.exe
Intento de parar el proceso: VsTskMgr.exe
Los procesos anteriores no se
pueden detener debído a que, incluso siendo administrador de la máquina, no se
tienen permisos para ello. Para poder pararlos se necesitaría tener los
permisos del usuario: “system”.
NOTA: El usuario System es el
utilizado por el propio sistema operativo.
Usuario que lanza el proceso: mfeann.exe
Usuario que lanza el proceso: VsTskMgr.exe
Windows XP – Automático
Para este proceso se ha utilizado un exploit publicado recientemente,
tal y como se ha comentado anteriormente.
Por este método se ha
conseguido explotar la vulnerabilidad y conseguir eliminar la necesidad de
utilizar una contraseña para poder modificar las características de VirusScan
Antes del uso del exploit
Después del uso del exploit.
Podemos parar el analizador en tiempo real sin necesidad de
credenciales
Windows 7 - Manualmente
Se van a seguir la misma operativa que la utilizada en el sistema
Windows XP.
Lo primero que se ve es la inexistencia de procesos que utilicen la
clave de registro “HKEY_LOCAL_MACHINE\SOFTWARE \Mcafee\DesktopProtection” o
parecida.
Resultados de la búsqueda comentada anteriormente
Aún así se pasa a comprobar si es posible parar los mismos procesos
vistos en la máquina con Windows XP. Pero ni siquiera se puede ver el usuario
que los ha lanzado, por lo que se puede decir que este método de explotación
tampoco funciona
Proceso padre y propiedades del proceso: mfeann.exe
Windows 7 – Automático
Para este proceso se ha utilizado un exploit publicado recientemente.
NOTA: El código ha tenido que ser modificado en parte debido a errores
en la compilación.
Por este método NO se ha
conseguido explotar la vulnerabilidad y conseguir eliminar la necesidad de
utilizar una contraseña para poder modificar las características de VirusScan
Resultado de lanzar el exploit en sistemas Windows 7
CONCLUSIONES
Por lo que se ha podido comprobar la explotación de la vulnerabilidad
depende enteramente del sistema operativo que se utilice y de que el usuario
que lo lance sea administrador de la máquina.
Se sugiere crear una regla que evite, en sistemas Windows XP, cambiar
el valor de la siguiente clave de registro:
“HKEY_LOCAL_MACHINE\SOFTWARE\Mcafee\DesktopProtection\UIPMode”
“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mcafee\DesktopProtection\UIPMode”
Como comentario final indicara que las pruebas no se han realizado
sobre sistemas Windows 8 ni sistemas Windows 10.
No hay comentarios:
Publicar un comentario