Plateforme
windows
Composant
iobit-malware-fighter
Corrigé dans
4.3.2
La vulnérabilité CVE-2016-20059 affecte IObit Malware Fighter version 4.3.1 et se caractérise par un chemin de service non cité dans les services IMFservice et LiveUpdateSvc. Cette faille permet à des attaquants locaux d'escalader leurs privilèges en insérant un exécutable malveillant dans le chemin non cité et en déclenchant un redémarrage du service ou du système.
La vulnérabilité CVE-2016-20059 affecte IObit Malware Fighter version 4.3.1, présentant une vulnérabilité de chemin de service non entre guillemets dans les services IMFservice et LiveUpdateSvc. Cela permet à des attaquants locaux d'élever leurs privilèges. Un attaquant pourrait placer un fichier exécutable malveillant dans le chemin de service non entre guillemets, et au redémarrage du service ou du système, ce fichier s'exécuterait avec les privilèges LocalSystem, ce qui pourrait permettre de prendre le contrôle du système. La gravité de cette vulnérabilité est élevée (CVSS 7.8), et aucune correction officielle n'a été publiée par IObit à ce jour. Il est crucial de comprendre que cette vulnérabilité nécessite un accès local au système affecté.
L'exploitation de CVE-2016-20059 nécessite un accès local au système où IObit Malware Fighter 4.3.1 est installé. Un attaquant disposant d'un accès local pourrait créer un fichier exécutable malveillant (par exemple, un script PowerShell ou un exécutable compilé) et le placer dans un emplacement où le service IMFservice ou LiveUpdateSvc le trouvera dans son chemin de service non entre guillemets. Lorsque le service redémarre ou que le système redémarre, le fichier malveillant s'exécutera avec les privilèges LocalSystem, ce qui lui permettra d'effectuer des actions telles que l'installation de logiciels, la modification de fichiers système ou l'établissement d'une porte dérobée. L'absence de guillemets dans le chemin du service permet à l'attaquant d'injecter du code arbitraire.
Systems running IObit Malware Fighter version 4.3.1 are at direct risk. Environments with limited user access controls or those where local accounts have excessive privileges are particularly vulnerable. Shared hosting environments where users have the ability to modify service configurations are also at increased risk.
• windows / supply-chain:
Get-Service | Where-Object {$_.DisplayName -in "IMFservice", "LiveUpdateSvc"} | ForEach-Object {
$_.ImagePath
}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like "*Malware Fighter*"}• windows / supply-chain: Check Autoruns for unusual entries related to IObit Malware Fighter or its services. • windows / supply-chain: Use Windows Defender to search for suspicious processes or files associated with the vulnerable services. • windows / supply-chain: Use Sysinternals tools (Process Monitor) to monitor service startup and identify any unexpected executable launches.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Étant donné qu'IObit n'a pas fourni de correctif direct pour CVE-2016-20059, les mesures d'atténuation visent à réduire la surface d'attaque et à limiter l'impact potentiel. Il est fortement recommandé de désactiver les services IMFservice et LiveUpdateSvc s'ils ne sont pas essentiels au fonctionnement du système. De plus, appliquer le principe du moindre privilège, en s'assurant que les comptes d'utilisateur disposent des permissions minimales nécessaires, peut aider à limiter les dommages si un attaquant exploite la vulnérabilité. Maintenir le système d'exploitation et les autres applications à jour est également une bonne pratique de sécurité générale. Surveiller l'activité du système à la recherche de comportements suspects peut aider à détecter une exploitation potentielle.
Actualice IObit Malware Fighter a una versión corregida. La vulnerabilidad se debe a una ruta de servicio no entrecomillada, por lo que la actualización debería solucionar el problema al corregir la forma en que se manejan las rutas de servicio.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Si vous ne pouvez pas mettre à jour vers une version corrigée (qui n'existe pas actuellement), la désinstallation d'IObit Malware Fighter est la mesure la plus sûre pour éliminer la vulnérabilité.
LocalSystem est un compte d'utilisateur disposant des privilèges les plus élevés sur le système, ce qui lui permet d'effectuer toute action.
Vérifiez la version d'IObit Malware Fighter installée. Si elle est 4.3.1 ou antérieure, elle est vulnérable.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais la surveillance de l'activité du système peut aider à identifier des comportements suspects.
Déconnectez le système du réseau, effectuez une analyse complète avec un antivirus mis à jour et envisagez de restaurer le système à un état antérieur connu.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.