США: В защите McAfee для банкоматов выявлена критическая уязвимость

0

Компания Positive Technologies сообщила об обнаружении опасной уязвимости в защитной системе для банкоматов Solidcore, входящей в состав решения McAfee Application Control (MAC). Проблема позволяет атакующему выполнить произвольный код и повысить привилегии на системе.

Уязвимость (CVE-2016-8009) была обнаружена сотрудником Positive Technologies Максимом Кожевниковым в ходе исследования защищенности банкоматов одного из крупных банков. Как поясняется в блоге компании, система Solidcore используется во множестве банкоматов на базе Windows для выявления и блокировки вредоносных файлов с помощью белых списков, а также для контроля привилегий запущенных процессов.

Выявленная проблема позволяет неавторизованному пользователю использовать IOCTL-обработчик одного из драйверов для повреждения памяти ядра OC Windows. Проэксплуатировав проблему, атакующий может выполнить произвольный код с правами SYSTEM, повысить пользовательские привилегии от Guest до SYSTEM или вызвать отказ в обслуживании ОС.

Воспользовавшись уязвимостью, эксперты смогли управлять компонентами Solidсore и выполнять действия с правами SYSTEM. К примеру, отключать взаимодействие Solidcore с сервером управления ePolicy Orchestrator, отключать блокировку консоли управления Solidcore, отключать парольную защиту и внедрять произвольный код в любые системные процессы. Злоумышленник может использовать уязвимый драйвер для добавления вредоносного ПО в белые списки Solidcore без полного отключения защиты и связи с сервером управления, что позволит избежать подозрений и записей в логах.

Напомним, в 2014 г. был обнаружен троян Tyupkin, позволяющий похищать деньги из банкоматов не привлекая внимание. Загрузившись на систему, вредонос отключал антивирусное ПО McAfee Solidcore для того, чтобы ничто не препятствовало его вредоносной активности. (McAfee/NovostIT)