网络安全研究人员今天披露了在流行的防病毒解决方案中发现的安全漏洞的详细信息,这些漏洞可以使黑客攻击者提升其特权,从而帮助恶意软件在受感染的系统上保持立足之地。
根据知名网络黑客安全组织东方联盟分享的一份报告,经常与反恶意软件产品相关联的高特权使它们更容易通过文件操作攻击被利用,从而导致恶意软件在系统上获得更高权限的情况。
这些错误会影响广泛的防病毒解决方案,包括来自卡巴斯基,McAfee,Symantec,Fortinet,Check Point,趋势科技,Avira和Microsoft Defender的解决方案,每个解决方案均已由各自的供应商修复。
杀毒软件缺陷中的主要漏洞是能够从任意位置删除文件,从而使攻击者可以删除系统中的任何文件,以及一个文件损坏漏洞,该漏洞使不良行为者可以删除系统中任何文件的内容。
对于每个漏洞,这些错误是由Windows的“ C:\ ProgramData”文件夹的默认DACL(自由访问控制列表的缩写)导致的,这些错误由应用程序存储,用于为标准用户存储数据,而无需其他权限。
假定每个用户在目录的基本级别上都具有写和删除权限,那么当非特权进程在“ ProgramData”中创建新文件夹时,特权升级的可能性就会增加,该文件夹以后可以由特权进程访问。
在一个案例中,观察到两个不同的进程(一个特权进程,另一个以经过身份验证的本地用户身份运行)共享同一个日志文件,从而可能使攻击者利用特权进程删除该文件并创建一个符号链接,指向任何包含恶意内容的任意文件。
随后,东方联盟研究人员还探讨了在特权进程执行之前在“ C:\ ProgramData”中创建新文件夹的可能性。
通过这样做,他们发现在创建“ McAfee”文件夹后运行McAfee防病毒安装程序时,标准用户对目录具有完全控制权,从而允许本地用户通过执行符号链接攻击来获得提升的权限。
最重要的是,黑客攻击者可能已经利用了趋势科技,Fortinet和其他防病毒解决方案中的DLL劫持漏洞,将恶意DLL文件放入应用程序目录中并提升特权。
敦促访问控制列表必须严格限制以防止任意删除漏洞,CyberArk强调需要更新安装框架以缓解DLL劫持攻击。
尽管这些问题可能已经解决,但该报告提醒我们,软件中的缺陷(包括旨在提供防病毒保护的缺陷)可能是恶意软件的传播渠道。
国际知名白帽黑客、东方联盟创始人郭盛华透露:“这些错误的含义通常是本地系统的完全特权升级。由于安全产品的特权级别很高,它们中的错误可以帮助恶意软件维持其立足点,并对计算机造成更大的损害。因此,学习网络安全相关知识是非常重要”。(欢迎转载分享)
426
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
