SafeBreach的研究人员发现了Kaspersky安全连接、Trend Micro最大安全性和Autodesk桌面应用程序中的几个DLL劫持漏洞,黑客可以利用这些漏洞进行DLL预加载、代码执行和权限升级。
第一个问题在卡巴斯基安全连接(KSDE) VPN客户端,跟踪为CVE-2019-15689,可以利用攻击者植入和运行一个任意的无签名的可执行文件。
SafeBreach的研究人员在过去的几个月中发现了类似的DLL劫持漏洞,这些漏洞影响了McAfee, Symantec, Avast和Avira的安全解决方案 。在上述解决方案中,特权进程正在尝试加载不在预期位置的库,从而使攻击者可以放置自己的库并使它们执行。
在所有情况下,特权进程都不会针对加载的DLL实施任何签名验证。
专家指出,KSDE是一种签名服务,它在系统启动时自动启动,并作为系统运行。该服务尝试加载多个丢失的DLL,具有管理权限的攻击者可以在ksde.exe上下文中加载具有系统权限的恶意库。
专家注意到,该进程尝试仅使用文件名而不是绝对路径来加载库,通过执行库,攻击者可以在已签名的Kaspersky进程中执行任意代码。
"这个攻击者可能在利用后的阶段利用此漏洞,以实现签名的代码执行,持久性以及在某些情况下逃避防御。这个漏洞可能已经允许攻击者植入任意的无符号的可执行文件,通过签订服务作为运行NT AUTHORITY SYSTEM。"执行读取专家们发表的帖子。 "使用CVE-2019-15689漏洞,我们能够加载由DLL签名的任意DLL文件。卡巴斯基实验室并以NT AUTHORITY SYSTEM身份运行。我们的代码是在ksde.exe中执行的。
研究人员通过从原始ckahum.dll DLL文件中编译出x86无符号的任意DLL来测试该漏洞,该文件写入了加载该进程的名称,执行该进程的用户名以及该DLL文件的名称。然后专家将其植入C: Windows SysWow64 Wbem中,然后重新启动计算机:
专家们还发现了一个类似的问题,名为CVE-2019-7365,它试图从PATH环境变量内的不同目录加载缺少的DLL文件。
可以使用此漏洞将任意未签名的DLL加载到作为NT AUTHORITYSYSTEM运行的服务中,从而实现权限升级和持久性。帖子上写道。
专家还报告了一个跟踪为CVE-2019-15628的DLL劫持漏洞,影响了趋势科技最高安全产品,该漏洞可被利用来实现防御逃避,自卫绕过,持久性以及在某些情况下通过加载任意文件来提升特权未签名的DLL转换为以NT AUTHORITY SYSTEM运行的多个服务。
专家发现,该软件的某些部分作为非PPL进程运行,从而使攻击者可以加载未签名的代码,因为未强制执行CIG(代码完整性保护)机制。
该漏洞使攻击者可以提升特权,普通用户可以写入丢失的DLL文件并以NT AUTHORITY SYSTEM的形式执行代码。
"在我们的VM上,安装了Python 2.7。c: python27有一个ACL,它允许任何经过身份验证的用户将文件写入ACL。这使特权升级变得简单,允许普通用户写入丢失的DLL文件并以NT AUTHORITY SYSTEM的形式执行代码。" 读取分析。
SafeBreach于7月将这些漏洞报告给了各自的公司,并发布了有关漏洞的安全公告。
1721
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
