พบช่องโหว่ Remote Code Execution ใน McAfee Security Scan Plus
McAfee Security Scan Plus เป็นเครื่องมือสำหรับการตรวจสอบและเช็คการ update ของ McAfee product ทั้ง Antivirus, Firewall และอื่นๆ รวมถึงการ scan หา threat ในโปรแกรมต่างๆที่ถูกเปิด แต่กลับพบว่าตัวเองดันมีช่องโหว่ซะเอง
จากที่ทางทีม SecuriTeam ได้ตรวจสอบพบว่า McAfee นั้นมีการไปดึงข้อมูลพวก promotion และ UI ของ information ที่จะแสดงใน application ติดต่อไปยัง mcafee.com โดยใช้งาน HTTP ธรรมดา จากนั้นนำ content ที่ response มาแสดงผลผ่านการใช้งาน MCBRWSR2.DLL library ทำให้ Attacker สามารถทำ man-in-the-middle ได้ จากนั้นก็ response ด้วย suspicious content เมื่อถึงปลายทาง client จะรัน suspicious content นั้นๆโดยใช้สิทธิ์ของ user ในการทำงานอีกที
|
1 2 3 |
<script> window.external.LaunchApplication("c:\\windows\\system32\\calc.exe", ""); </script> |
ผลกระทบ: Man-in-the-Middle, Remote Code Execution
ระบบที่ได้รับผลกระทบ: McAfee Security Scan Plus < 3.11.587.1
วิธีแก้ไข: Update ให้เป็น version 3.11.587.1
Source:: Securiteam
You May also Like
LINE@Techsuii.com
