幾款常見的反病毒軟件中曝出存在一種可讓攻擊者利用隔離區來提升惡意軟件權限的問題,涉及的反病毒軟件廠商具體有趨勢科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 。其他廠商的反病毒軟件也有可能受到影響。
攻擊利用方法
攻擊者如果侵入了計算機系統,他們總是會想要提權來獲取機密數據,并自如地穿梭在網絡中之中。近日,信息安全審計員 Florian Bogner 發現了一種全新的提權方法:利用反病毒軟件的隔離區特性。這種攻擊方法 AVGater 的具體實現,組合利用了幾個反病毒軟件的設計漏洞和已知技巧。
按照 Bogner 的說法,這個攻擊首先使用惡意 DLL 文件放入防病毒軟件的隔離區。然后攻擊者可以利用安全軟件的 Windows 進程(SYSTEM權限)來修復這個文件。但畢竟是惡意文件,它并不會回到原始路徑下,而是能夠移動到操作系統的特權區域——比如 Program Files 或者 Windows 文件夾中——這樣這個惡意文件就不會被低權限的用戶處理掉。
一旦惡意 DLL 文件移動到了目標文件夾中,與該文件夾所關聯的 Windows 進程自然就會執行相關的工作,惡意 DLL 就這樣會被執行。
及時更新反病毒軟件產品
據了解,目前這個漏洞會影響趨勢科技、Emsisoft, 卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒軟件。其他廠商的反病毒軟件也有可能受到影響(在修復程序放出之前并不會公開這些廠商的名字)。
想要了解具體的內容,可以參考 Bogner 發布的兩篇博客:他針對這個問題分別為Emsisoft以及 Malwarebytes廠商的反病毒軟件進行了剖析。你可以看到他是如何從攻擊者視角進行分析,放置惡意DLL文件和提權。
所以說,安全產品也和其他軟件產品一樣,都會存在漏洞和問題,可能被其他目的的人利用。
京公網安備 11010502049343號