幾款常見的反病毒軟件中曝出存在一種可讓攻擊者利用隔離區(qū)來提升惡意軟件權(quán)限的問題,涉及的反病毒軟件廠商具體有趨勢科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 。其他廠商的反病毒軟件也有可能受到影響。
攻擊利用方法
攻擊者如果侵入了計算機系統(tǒng),他們總是會想要提權(quán)來獲取機密數(shù)據(jù),并自如地穿梭在網(wǎng)絡(luò)中之中。近日,信息安全審計員 Florian Bogner 發(fā)現(xiàn)了一種全新的提權(quán)方法:利用反病毒軟件的隔離區(qū)特性。這種攻擊方法 AVGater 的具體實現(xiàn),組合利用了幾個反病毒軟件的設(shè)計漏洞和已知技巧。
按照 Bogner 的說法,這個攻擊首先使用惡意 DLL 文件放入防病毒軟件的隔離區(qū)。然后攻擊者可以利用安全軟件的 Windows 進程(SYSTEM權(quán)限)來修復這個文件。但畢竟是惡意文件,它并不會回到原始路徑下,而是能夠移動到操作系統(tǒng)的特權(quán)區(qū)域——比如 Program Files 或者 Windows 文件夾中——這樣這個惡意文件就不會被低權(quán)限的用戶處理掉。
一旦惡意 DLL 文件移動到了目標文件夾中,與該文件夾所關(guān)聯(lián)的 Windows 進程自然就會執(zhí)行相關(guān)的工作,惡意 DLL 就這樣會被執(zhí)行。
及時更新反病毒軟件產(chǎn)品
據(jù)了解,目前這個漏洞會影響趨勢科技、Emsisoft, 卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒軟件。其他廠商的反病毒軟件也有可能受到影響(在修復程序放出之前并不會公開這些廠商的名字)。
想要了解具體的內(nèi)容,可以參考 Bogner 發(fā)布的兩篇博客:他針對這個問題分別為Emsisoft以及 Malwarebytes廠商的反病毒軟件進行了剖析。你可以看到他是如何從攻擊者視角進行分析,放置惡意DLL文件和提權(quán)。
所以說,安全產(chǎn)品也和其他軟件產(chǎn)品一樣,都會存在漏洞和問題,可能被其他目的的人利用。