Критическая уязвимость в системе McAfee Endpoint Protection

McAfeeИсследователи по безопасности группы Zero Day Initiative (ZDI) сообщили о критической уязвимости в программных продуктах типа "безопасность как услуга" (Security-as-a-Service (SaaS)) компании McAfee. О наличии данного дефекта вендор был уведомлен еще в апреле прошлого года, ошибка до сих пор не исправлена.

Согласно другим данным, впервые информация о данной бреши в безопасности возникла 4 января, когда один из авторов ИТ-блога Kaamar Blog, получил сообщение от провайдера, предупреждавшего первого о "подозрительной активности", исходившей с пользовательского IP-адреса. Проверив системные и почтовые логи, ИТ-специалист убедился, что спамерам удалось найти лазейку в сервисе McAfee, которым он пользовался. Сам специалист смог заблокировать дыру, но до того, как он успел это сделать, провайдер уже внес его IP-адрес в ограниченный список. В сообщении Kaamar Blog сказано, что проблема появилась 31 декабря и была ликвидирована 5 января, но за это время спамеры использовали 10-месячный лимит трафика.

Наличие программного бага в SaaS-сервисе Endpoint Protection позволяет использовать защищаемые компьютеры в качестве открытых прокси для рассылки спама.

В случае успешной атаки злоумышленник сможет удаленно выполнить произвольный код на целевой системе. Для этого ему придется вынудить жертву посетить специально сформированную веб-страницу или открыть зараженный файл, что достигается средствами социальной инженерии.

Данная ошибка обнаружена в файлах библиотеки

  • "myCIOScn.dll"

при обращении к функции

  • "MyCioScan.Scan.ShowReport()"

и позволяет выполнять переданные команды без необходимости аутентификации. Это дает возможность выполнения кода прямо в обозревателе. Согласно рейтингу CVSS данная уязвимость получила 9 баллов из максимальных 10.

Для предотвращения возможной эксплуатации этой уязвимости эксперты рекомендуют отключить запуск элемента управления ActiveX в обозревателях Internet Explorer. Это достигается путем изменения значения параметра Compatibility Flags типа DWORD для идентификатора класса (CLSID), соответствующего элементу управления ActiveX на 0x00000400. Более подробная информация представлена на сайте Microsoft.

Эксперты не уточнили, в каких приложениях была найдена уязвимость, однако линейка продуктов "безопасность как сервис" включает сервис защиты электронной почты McAfee SaaS Email Protection, а также приложение McAfee Integrated Suites, предотвращающее проникновение вирусов, программ-шпонов и прочих угроз на компьютер пользователя.

Согласно неофициальным данным, проблема связана с программами RumorServer Service и McAfee Peer Distribution Service, входящими в McAfee SasS Endpoint Protection Suite, ранее известный как Total Protection Service. Здесь встроена технология для доставки программных обновлений без прямого интернет-соединения стандартными средствами. Для этого здесь работает программа Open Proxy, взаимодействующая через 6515 порт и позволяющая через этот же порт взаимодействовать с машиной-жертвой спамерам. Причем они могут передавать свои сообщения на компьютер, ретранслирующий их с собственным IP-адресом, поэтому присутствия настоящего спамера ничего не будет выдавать.

По данным блога Mr.HinkyDink Blog, сейчас существуют как минимум 1 900 IP-адресов, работающих как открытые прокси для рассылки спама через дыру в продукте McAfee.


Обновлено (18.01.2012 13:47)