Platform
windows
Component
iobit-malware-fighter
Opgelost in
4.3.2
CVE-2016-20059 beschrijft een unquoted service path kwetsbaarheid in IObit Malware Fighter versie 4.3.1. Deze kwetsbaarheid stelt lokale aanvallers in staat om privileges te escaleren door een kwaadaardig uitvoerbaar bestand in de unquoted service path van de IMFservice en LiveUpdateSvc services te plaatsen. Door de service te herstarten of het systeem opnieuw op te starten, kan de aanvaller code uitvoeren met LocalSystem privileges. Er is momenteel geen officiële patch beschikbaar.
CVE-2016-20059 treft IObit Malware Fighter versie 4.3.1 en introduceert een kwetsbaarheid in het niet-aangehaalde servicepad in de IMFservice- en LiveUpdateSvc-services. Dit stelt lokale aanvallers in staat om privileges te escaleren. Een aanvaller kan een kwaadaardig uitvoerbaar bestand plaatsen in het niet-aangehaalde servicepad en bij het opnieuw opstarten van de service of het systeem zal dit bestand worden uitgevoerd met LocalSystem-rechten, waardoor mogelijk de controle over het systeem kan worden overgenomen. De ernst van deze kwetsbaarheid is hoog (CVSS 7.8), en IObit heeft tot op heden geen officiële oplossing uitgebracht. Het is cruciaal om te begrijpen dat deze kwetsbaarheid lokale toegang tot het getroffen systeem vereist.
Exploitatie van CVE-2016-20059 vereist lokale toegang tot het systeem waarop IObit Malware Fighter 4.3.1 is geïnstalleerd. Een aanvaller met lokale toegang kan een kwaadaardig uitvoerbaar bestand (bijvoorbeeld een PowerShell-script of een gecompileerd uitvoerbaar bestand) maken en dit plaatsen op een locatie waar de IMFservice- of LiveUpdateSvc-service het in het niet-aangehaalde servicepad vindt. Wanneer de service opnieuw wordt opgestart of het systeem opnieuw wordt opgestart, wordt het kwaadaardige bestand uitgevoerd met LocalSystem-rechten, waardoor het acties kan uitvoeren zoals het installeren van software, het wijzigen van systeembestanden of het instellen van een backdoor. Het ontbreken van aanhalingstekens in het servicepad stelt de aanvaller in staat om willekeurige code in te voegen.
Systems running IObit Malware Fighter version 4.3.1 are at direct risk. Environments with limited user access controls or those where local accounts have excessive privileges are particularly vulnerable. Shared hosting environments where users have the ability to modify service configurations are also at increased risk.
• windows / supply-chain:
Get-Service | Where-Object {$_.DisplayName -in "IMFservice", "LiveUpdateSvc"} | ForEach-Object {
$_.ImagePath
}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like "*Malware Fighter*"}• windows / supply-chain: Check Autoruns for unusual entries related to IObit Malware Fighter or its services. • windows / supply-chain: Use Windows Defender to search for suspicious processes or files associated with the vulnerable services. • windows / supply-chain: Use Sysinternals tools (Process Monitor) to monitor service startup and identify any unexpected executable launches.
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
Aangezien IObit geen directe oplossing heeft geleverd voor CVE-2016-20059, richten de mitigerende maatregelen zich op het verminderen van het aanvalsoppervlak en het beperken van de potentiële impact. Het wordt ten zeerste aanbevolen om de IMFservice- en LiveUpdateSvc-services uit te schakelen als ze niet essentieel zijn voor de systeemwerking. Bovendien kan het toepassen van het principe van minimale privileges, waarbij ervoor wordt gezorgd dat gebruikersaccounts alleen de minimaal noodzakelijke rechten hebben, helpen om schade te beperken als een aanvaller de kwetsbaarheid misbruikt. Het up-to-date houden van het besturingssysteem en andere applicaties is ook een algemene beveiligingsbest practice. Het monitoren van de systeemactiviteit op verdacht gedrag kan helpen bij het detecteren van mogelijke exploitatie.
Actualice IObit Malware Fighter a una versión corregida. La vulnerabilidad se debe a una ruta de servicio no entrecomillada, por lo que la actualización debería solucionar el problema al corregir la forma en que se manejan las rutas de servicio.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Als u niet kunt updaten naar een gepatchte versie (die momenteel niet bestaat), is het verwijderen van IObit Malware Fighter de veiligste maatregel om de kwetsbaarheid te elimineren.
LocalSystem is een gebruikersaccount met de hoogste rechten op het systeem, waardoor het elke actie kan uitvoeren.
Controleer de geïnstalleerde versie van IObit Malware Fighter. Als deze 4.3.1 of eerder is, is deze kwetsbaar.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar het monitoren van de systeemactiviteit kan helpen bij het identificeren van verdacht gedrag.
Koppel het systeem los van het netwerk, voer een volledige scan uit met een bijgewerkte antivirus en overweeg het systeem te herstellen naar een bekende goede staat.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.