CVE-2019-3648漏洞分析

最新推荐文章于 2024-03-03 17:49:49 发布
最新推荐文章于 2024-03-03 17:49:49 发布
阅读量1.7k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/103112215
版权
本文详细介绍了CVE-2019-3648漏洞,该漏洞存在于McAfee反病毒软件中,允许攻击者绕过自防御机制,加载未签名的DLL到高权限服务中。攻击者需具备管理员权限,漏洞主要由于缺少数字签名验证和错误的DLL搜索路径。潜在风险包括防护绕过、签名执行和驻留机制,影响McAfee Total Protection等多款产品。
摘要由CSDN通过智能技术生成

SafeBreach Labs安全研究人员在McAfee反病毒软件所有版本中发现了一个新的漏洞。本文将证明如何利用该漏洞来绕过McAfee的自防御机制,并加载任意未签名的DLL到多个以NT AUTHORITY\SYSTEM运行的服务中来实现防御绕过和驻留。

注:为成功利用该漏洞,攻击者需要有administrator管理员权限。

McAfee Total Protection

McAfee Total Protection提供病毒、奇热身份和隐私保护等多个功能。该软件的多个组成部分以NT AUTHORITY\SYSTEM权限的Windows服务的形式运行,权限很大。

漏洞

漏洞发现

研究人员发现以签名的进程和NT AUTHORITY\SYSTEM权限运行的McAfee软件的多个服务尝试加载 c:\Windows\System32\wbem\wbemcomn.dll。但是该DLL文件位于System32文件夹,而非System32\Wbem

CVE-2019-3648漏洞分析

研究人员猜测如果可以加载任意未签名的DLL到这些进程中那么这就是一个漏洞。然后利用该漏洞可以绕过杀毒软件的自防御机制,因为McAfee软件的文件夹都是由mini-filter文件系统驱动进行保护的,这就限制了写操作。

如果mini-filter文件系统驱动是有效的,即

最低0.47元/天 解锁文章
systemino
关注
CVE-2019-14234——SQL注入漏洞
战神/calmness的博客
11-21 1723
CVE-2019-14234:Django JSONField SQL注入漏洞复现 你剥开一个很酸的橙子而感到后悔了,可对于橙子来说,那是它的一切. 该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。 漏洞概述: Django通常搭配postgresql数据库,而JSONField是该数据库的一种数据类型。该漏...
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
sxr__nc的博客
04-19 4913
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
(环境搭建+复现)CVE-2019-3398 Confluence路径穿越漏洞
daxi0ng的博客
04-02 2423
1、【CVE编号】 CVE-2019-3398 2、【漏洞名称】 Confluence路径穿越漏洞 3、【靶标分类】 Web类型类靶标 4、【影响版本】 2.0.0 <= version < 6.6.13 6.7.0 <= version < 6.12.4 6.13.0 <= version < 6.13.4 6.14.0 <= version < ...
使用CVE-2019-0708进行的一次渗透测试实验
江左盟的博客
10-17 1830
目录 简介 测试环境 相关工具 persistence用法: metsvc用法: 测试过程 遇到的问题 总结 简介 本次渗透测试使用Kali Linux作为攻击机,使用Windows 7作为目标机,通过使用近期爆出的Windows远程桌面服务远程代码执行漏洞CVE-2019-0708)攻陷目标主机。 测试环境 攻击机:Linux kali 4.15.0-kali3-amd...
CVE10大漏洞总结【网络安全】
heikeyouyou的博客
05-19 3245
网络安全之cve十大漏洞总结
wbemcomn.dll文件丢失导致程序无法运行问题
2301_76755223的博客
02-17 942
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wbemcomn.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wbemcomn.dll丢失要怎么解决?
Rails-doubletap-RCE:使用路径遍历(CVE-2019-5418)和Ruby对象反序列化(CVE-2019-5420)的Rails 5.2.2上的RCE
02-06
使用路径遍历(CVE-2019-5418)和Ruby对象反序列化的RCE on Rails 5.2.2(CVE-2019-5420) 技术分析CVE-2019-5418- CVE-2019-5420- //hackerone.com/reports/473888 安全部门: CVE-2019-5418- //groups....
CVE-2019-11043:Neex的(PoC)CVE-2019-11043 Python版本
03-08
CVE-2019-11043漏洞利用的Python版本 此PoC仍然是草稿,请使用编写的漏洞利用漏洞分析: : PoC设定 只需运行docker compose即可启动nginx和php-fpm: # docker-compose up -d Creating network " cve-2019-11043...
网络靶场实战--BIG-IP CVE漏洞分析(CVE-2022-41622)(CVE-2022-41800)
蛇矛实验室
12-13 1361
这一小节,我们简单分析了F5设备的俩个pre-auth漏洞,了解了rpm注入和csrf漏洞产生原因。并且在此过程中我们简单学习F5设备中 soap接口和rest接口的区别以及利用。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
迈克菲卸载工具
10-22
迈克菲卸载工具,支持卸载windows10卸载迈克菲。帮助用户节省空间。
启动应用程序出现wbemcomn.dll找不到问题解决
最新发布
wbcmbfy的博客
03-03 404
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wbemcomn.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wbemcomn.dll丢失要怎么解决?
彻底关闭Antimalware Service Executable(windows defender)
热门推荐
weixin_43303530的博客
12-02 23万+
因为我的电脑并不是特别好,而Antimalware Service Executable服务占用的CPU过高,导致电脑特别卡,所以就在网上查找资料实现了对Antimalware Service Executable的关闭。 首先,转载一个博文: 关闭Antimalware Service Executable(windows defender) 该博文的第一种方案顺利解决了我的问题,但两天后该...
Angular入门-module和service
songting0616的专栏
05-31 3013
自己学习angular时候记录的学习笔记,这一篇主要讨论module和service。 How to define a module? 1 2 3 4 5 6 // define a module angular.module('notesApp', ['notesApp.ui', 'thirdCompany.fusioncharts']); //
如何解决卸载McAfee时出现“处于托管模式时无法删除”问题
dlx804332206的专栏
06-05 4万+
 如何解决卸载McAfee时出现“处于托管模式时无法删除”问题 问题现象: 这几天在为客户终端换装杀毒软件时出现这么一个问题:在控制面板的添加或删除程序里面将“McAfee VirusScan Enterprise和 McAfee AntiSpyware Enterprise Module”卸载后,却无法卸载“McAfee agent”,总是提示“处于托管模式时无法删
mcafee完全彻底卸载方法
WXJ 的Blog
01-16 6万+
开始--运行--输入regedit 打开注册表编辑器 展开 HKEY_LOCAL_MACHINE/SOFTWARE/Network Associates/ePolicy orchestrator/Application Plugins/VSEMAS__8000/Product Name 把/VSEMAS__8000/这个子项删除 保留前面的 HKEY_LOCAL_MACHINE/SOFTWARE/
McAfee迈克菲安全软件的垃圾性以及win10的脆弱性
Cherry
05-01 3万+
新电脑win10  64位系统用了没几天,系统直接各种自动关机重启,进入到主界面,然后过两秒 鼠标就不能用了然后系统重启,重启了不下10便,最后用安全模式进入,发现这次不重启了, 怀疑是中毒了,上网需谨慎啊,一不小心就着了道,目前来看是 驱动人生导致的,这个二货软件,自带一堆垃圾附属物,我安全模式下都不能卸载, 只能手动删除他的相关文件。本来系统自带的是McAfee安全软件,毛用没有,
联想电脑预装Mcafee(迈克菲)踩坑
不叫terence叫啥的博客
04-25 1万+
联想和Mcafee(迈克菲)合作,电脑预装了联想杀毒(其实就是Mcafee),这不仅很占用资源,而且会使一些不可描述的资源无法使用。 例如,我在使用shadowsocks的时候打开会报错: 系统资源不足,无法完成请求服务 这其实是Mcafee在自动扫描并且删除shadowsocks,这个时候可以删掉Mcafee或者禁用。 一般来说用win10自带的安全中心就够用了。最好也不要装国内杀毒软件,比如某...
无法卸载McAfee Framework Service
№快乐因你♂
01-04 1763
如果我没猜错的话,你卸载的是 8.5i 版的吧?告诉你解决的办法:重装一遍 8.5i ,在卸载之前先将“文件保护”里所有保护 McAfee 的选项前的 √   清除,然后再卸载,重新启动,就可以卸载干净了!   ============================================
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值