Cómo quitar la contraseña de la consola de McAfee VirusScan

McAfee es sin duda unos de los antivirus de puesto de usuario más usados en las empresas. Seguro que si habéis administrado alguna ePO o simplemente tenéis el VirusScan instalado os habréis dado cuenta que si intentáis desactivar la Protección de acceso o el Analizador en Tiempo Real normalmente no se puede directamente porque el interfaz de usuario está protegido por contraseña:
 


Digamos que es una manera que tiene McAfee VirusScan Enterprise de proteger su motor de escaneo de los *malvados* administradores locales de Windows, una contraseña que nos pedirá la Consola de VirusScan al menos que hayamos arrancado Windows en "Modo Seguro".

Si la contraseña es correcta la Consola solicita al Motor de antivirus que desbloquee las claves de registro. Y ese es el problema, que el motor no lo comprueba por si mismo y cualquiera puede "pedirle" al motor que pare sin saber la contraseña correcta.


El ataque puede hacerse de varias maneras. La manera quizás más sencilla es con un administrador de procesos, buscando los manejadores de la clave "HKLM\SOFTWARE\McAfee\DesktopProtection" y cerrándolos. En nuestro ejemplo con Process Hacker:



Como podréis comprobar, después de cerrarlos ya no se nos solicitará contraseña y podremos desactivarla definitivamente:




Evidentemente también es posible automatizarlo directamente. Por ejemplo Maurizio Agazzini pone a nuestra disposición un pequeño programa en C para hacerlo: http://lab.mediaservice.net/code/mcafee_unprotector.c.

El parche SB10151 para solucionarlo fue publicado por McAfee el 25 de febrero. Esta vulnerabilidad afecta a McAfee Viruscan Enterprise 8.8 sin ese parche y anteriores.

FuenteMcAfee VirusScan Enterprise security restrictions bypass

Comentarios