Désactiver McAfee VirusScan Enterprise

Depuis 2014 une faille de sécurité est présente sur l'Anti-Virus McAfee pour entreprise.

Il est normalement impossible de désactiver VirusScan Enterprise sur un poste même en tant qu'administrateur, un password est nécessaire mais une vulnérabilité existe et a été trouvé par Maurizio Agazzini sans devoir passer par le mode sans-echec.

Cette faille peut-être utile dans le cadre d'un test d'intrusion ou l'Anti-Virus de McAfee, maintenant Intel Security, poserait problème et cela même après avoir obtenu un compte Administrateur.

Une correction a été apporté dans la version de VirusScan 8.8 patch 7 avec le Hotfix 1110392 sorti le 25 Fevrier 2016. (Une grosse entreprise a généralement plusieurs années mois de retard)
Intel Security - Security Bulletins ID : SB10151

Maurizio Agazzini avait remonté cette vulnérabilité le 7 Novembre 2014 auprès de McAfee...

07/11/2014 - First communication sent to McAfee
17/11/2014 - Second communication sent to McAfee
17/11/2014 - McAfee: Request to send again vulnerability information
18/11/2014 - Sent vulnerability information and PoC again
11/12/2014 - McAfee: Problem confirmed
09/03/2015 - Request for update to McAfee
06/05/2015 - Request for update to McAfee
06/05/2015 - McAfee: Patch release planned for Q3
20/08/2015 - McAfee: Request for deadline delay (31/03/2016)
25/02/2016 - McAfee: SB10151 patch has been relased

Packet Storm - McAfee VirusScan Enterprise 8.8 Security Bypass

Pour faire simple, voici un PoC :


1 - Lancer l'outil Process Explorer de la suite Sysinternals ainsi que la console VirusScan avec un compte administrateur.

2 - Localiser le process mcconsol.exe, cliquer dessus puis sur les touches CTRL-L (ou dans Menu -> View -> Show Lower Pane).

alt 3 - Trouver les clés de registre "HKLM\SOFTWARE\McAfee\DesktopProtection", puis clique droit sur "Close Handle" sur toutes.

4 - Retourner sur la console VirusScan, dans Menu -> Outils -> Options Générales -> Options de mot de passe

alt

5 - Selectionner Aucun mot de passe et appliquer. Il est maintenant possible de désactiver VirusScan.

alt

Toutes les versions de VirusScan Enterprise 8.8 avant le Hotfix 1110392 sont vulnérables.

alt

Fap'ment,