Plattform
windows
Komponente
iobit-malware-fighter
Behoben in
4.3.2
CVE-2016-20059 describes a privilege escalation vulnerability found in IObit Malware Fighter versions 4.3.1. This flaw stems from an unquoted service path within the IMFservice and LiveUpdateSvc services, enabling local attackers to gain elevated privileges. Successful exploitation allows attackers to execute malicious code with LocalSystem privileges, potentially compromising the entire system. A fix is available from IObit.
CVE-2016-20059 betrifft IObit Malware Fighter Version 4.3.1 und weist eine Schwachstelle im nicht-angeführten Dienstpfad in den Diensten IMFservice und LiveUpdateSvc auf. Dies ermöglicht lokalen Angreifern die Eskalation von Privilegien. Ein Angreifer könnte eine bösartige ausführbare Datei im nicht-angeführten Dienstpfad platzieren, und beim Neustart des Dienstes oder des Systems würde diese Datei mit LocalSystem-Rechten ausgeführt, was die Kontrolle über das System ermöglichen könnte. Die Schwere dieser Schwachstelle ist hoch (CVSS 7.8), und IObit hat bis heute keinen offiziellen Fix veröffentlicht. Es ist entscheidend zu verstehen, dass diese Schwachstelle lokalen Zugriff auf das betroffene System erfordert.
Die Ausnutzung von CVE-2016-20059 erfordert lokalen Zugriff auf das System, auf dem IObit Malware Fighter 4.3.1 installiert ist. Ein Angreifer mit lokalem Zugriff könnte eine bösartige ausführbare Datei (z. B. ein PowerShell-Skript oder eine kompilierte ausführbare Datei) erstellen und sie an einem Ort platzieren, an dem der Dienst IMFservice oder LiveUpdateSvc sie im nicht-angeführten Dienstpfad findet. Wenn der Dienst neu gestartet oder das System neu gestartet wird, wird die bösartige Datei mit den LocalSystem-Rechten ausgeführt, wodurch sie Aktionen wie die Installation von Software, die Änderung von Systemdateien oder die Einrichtung einer Hintertür ausführen kann. Das Fehlen von Anführungszeichen im Dienstpfad ermöglicht es dem Angreifer, beliebigen Code einzuschleusen.
Systems running IObit Malware Fighter version 4.3.1 are at direct risk. Environments with limited user access controls or those where local accounts have excessive privileges are particularly vulnerable. Shared hosting environments where users have the ability to modify service configurations are also at increased risk.
• windows / supply-chain:
Get-Service | Where-Object {$_.DisplayName -in "IMFservice", "LiveUpdateSvc"} | ForEach-Object {
$_.ImagePath
}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like "*Malware Fighter*"}• windows / supply-chain: Check Autoruns for unusual entries related to IObit Malware Fighter or its services. • windows / supply-chain: Use Windows Defender to search for suspicious processes or files associated with the vulnerable services. • windows / supply-chain: Use Sysinternals tools (Process Monitor) to monitor service startup and identify any unexpected executable launches.
disclosure
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Da IObit keinen direkten Fix für CVE-2016-20059 bereitgestellt hat, konzentrieren sich die Maßnahmen zur Abschwächung auf die Reduzierung der Angriffsfläche und die Begrenzung potenzieller Auswirkungen. Es wird dringend empfohlen, die Dienste IMFservice und LiveUpdateSvc zu deaktivieren, wenn sie nicht für den Systembetrieb unerlässlich sind. Darüber hinaus kann die Anwendung des Prinzips der geringsten Privilegien, bei dem sichergestellt wird, dass Benutzerkonten nur die minimal erforderlichen Berechtigungen haben, dazu beitragen, Schäden zu begrenzen, wenn ein Angreifer die Schwachstelle ausnutzt. Das Aktualisieren des Betriebssystems und anderer Anwendungen ist ebenfalls eine allgemeine Sicherheitsempfehlung. Die Überwachung der Systemaktivität auf verdächtiges Verhalten kann dazu beitragen, eine mögliche Ausnutzung zu erkennen.
Actualice IObit Malware Fighter a una versión corregida. La vulnerabilidad se debe a una ruta de servicio no entrecomillada, por lo que la actualización debería solucionar el problema al corregir la forma en que se manejan las rutas de servicio.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Wenn Sie nicht auf eine gepatchte Version aktualisieren können (die derzeit nicht existiert), ist die Deinstallation von IObit Malware Fighter die sicherste Maßnahme, um die Schwachstelle zu beseitigen.
LocalSystem ist ein Benutzerkonto mit den höchsten Rechten auf dem System, das es ihm ermöglicht, jede Aktion auszuführen.
Überprüfen Sie die installierte Version von IObit Malware Fighter. Wenn es sich um 4.3.1 oder früher handelt, ist es anfällig.
Derzeit gibt es keine spezifischen Tools, um diese Schwachstelle zu erkennen, aber die Überwachung der Systemaktivität kann dazu beitragen, verdächtiges Verhalten zu identifizieren.
Trennen Sie das System vom Netzwerk, führen Sie einen vollständigen Scan mit einem aktualisierten Antivirenprogramm durch und erwägen Sie, das System in einen bekannten guten Zustand wiederherzustellen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.