Plataforma
windows
Componente
iobit-malware-fighter
Corrigido em
4.3.2
A vulnerabilidade CVE-2016-20059 reside no IObit Malware Fighter, especificamente nas versões 4.3.1–4.3.1. Esta falha de segurança, classificada como escalada de privilégios, permite que um atacante local execute código com privilégios elevados, explorando um caminho de serviço não entre aspas. A exploração bem-sucedida pode resultar na execução de código malicioso com privilégios de LocalSystem, comprometendo a integridade do sistema. Atualmente, não há um patch oficial disponível para esta vulnerabilidade.
A vulnerabilidade CVE-2016-20059 afeta o IObit Malware Fighter versão 4.3.1, apresentando um problema de caminho de serviço não entre aspas nos serviços IMFservice e LiveUpdateSvc. Isso permite que atacantes locais escalem privilégios. Um atacante pode colocar um arquivo executável malicioso no caminho do serviço não entre aspas, e ao reiniciar o serviço ou o sistema, este arquivo seria executado com privilégios de LocalSystem, potencialmente permitindo o controle do sistema. A gravidade desta vulnerabilidade é alta (CVSS 7.8), e nenhuma correção oficial foi lançada pela IObit até o momento. É crucial entender que esta vulnerabilidade requer acesso local ao sistema afetado.
A exploração da CVE-2016-20059 requer acesso local ao sistema onde o IObit Malware Fighter 4.3.1 está instalado. Um atacante com acesso local pode criar um arquivo executável malicioso (por exemplo, um script PowerShell ou um executável compilado) e colocá-lo em um local onde o serviço IMFservice ou LiveUpdateSvc o encontre em seu caminho de serviço não entre aspas. Quando o serviço reiniciar ou o sistema reiniciar, o arquivo malicioso será executado com os privilégios de LocalSystem, permitindo que ele execute ações como instalar software, modificar arquivos do sistema ou estabelecer uma porta traseira. A falta de aspas no caminho do serviço permite que o atacante injete código arbitrário.
Systems running IObit Malware Fighter version 4.3.1 are at direct risk. Environments with limited user access controls or those where local accounts have excessive privileges are particularly vulnerable. Shared hosting environments where users have the ability to modify service configurations are also at increased risk.
• windows / supply-chain:
Get-Service | Where-Object {$_.DisplayName -in "IMFservice", "LiveUpdateSvc"} | ForEach-Object {
$_.ImagePath
}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like "*Malware Fighter*"}• windows / supply-chain: Check Autoruns for unusual entries related to IObit Malware Fighter or its services. • windows / supply-chain: Use Windows Defender to search for suspicious processes or files associated with the vulnerable services. • windows / supply-chain: Use Sysinternals tools (Process Monitor) to monitor service startup and identify any unexpected executable launches.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
Considerando que a IObit não forneceu uma correção direta para CVE-2016-20059, as medidas de mitigação se concentram em reduzir a superfície de ataque e limitar o impacto potencial. Desabilitar os serviços IMFservice e LiveUpdateSvc é altamente recomendado se eles não forem essenciais para a operação do sistema. Além disso, aplicar o princípio do menor privilégio, garantindo que as contas de usuário tenham as permissões mínimas necessárias, pode ajudar a limitar os danos se um atacante explorar a vulnerabilidade. Manter o sistema operacional e outros aplicativos atualizados também é uma boa prática de segurança geral. Monitorar a atividade do sistema em busca de comportamento suspeito pode ajudar a detectar uma possível exploração.
Actualice IObit Malware Fighter a una versión corregida. La vulnerabilidad se debe a una ruta de servicio no entrecomillada, por lo que la actualización debería solucionar el problema al corregir la forma en que se manejan las rutas de servicio.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Se você não puder atualizar para uma versão corrigida (que atualmente não existe), desinstalar o IObit Malware Fighter é a medida mais segura para eliminar a vulnerabilidade.
LocalSystem é uma conta de usuário com os privilégios mais altos no sistema, permitindo que ela execute qualquer ação.
Verifique a versão do IObit Malware Fighter instalado. Se for 4.3.1 ou anterior, ele é vulnerável.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas o monitoramento da atividade do sistema pode ajudar a identificar comportamentos suspeitos.
Desconecte o sistema da rede, execute uma verificação completa com um antivírus atualizado e considere a possibilidade de restaurar o sistema para um estado anterior conhecido.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.