AVGater漏洞突破防病毒软件 影响大批知名杀毒软件 PoC已经公开

一个研究人员在星期五警告说, 一些流行的防病毒产品受某种类型漏洞的影响, 攻击者可以通过滥用隔离功能,来进行本地提权。

一旦攻击者侵入系统, 他们可能需要以某种方式获得更高的权限, 以便访问允许他们在网络中 横向移动 攻击。奥地利 Kapsch的信息安全审计师 Florian Bogner表示, 他发现了一种新的方法来实现这一点,也就是滥用一些防病毒软件中的检疫功能(隔离功能)。这种攻击方法研究员命名为 AVGater, 它将漏洞及已知技术进行了组合。

AVGater攻击方式利用了杀毒软件的隔离功能及Windows Junctions文件链接功能

根据 Bogner的说法, 攻击从恶意 DLL 文件开始, 并由防病毒软件置于隔离文件夹中。然后, 攻击者滥用安全应用程序的 Windows 进程 (通常具有系统权限) 来还原该文件。但是, 恶意 DLL 不会恢复到其原始位置, 而是还原到一个不同的文件夹, 从中启动特权进程 (如程序文件或 Windows 文件夹), 其中的文件通常用户没有权限写入。

由于连接是 NTFS 文件系统支持的 文件链接 类型junctions, 因此在系统的任何位置写入还原文件都是可能的。Junctions是系统用于关联链接目录的链接形式。

大批杀毒软件受AVGater漏洞影响

将恶意 dll 放在目标文件夹中后, 与该文件夹关联的特权 windows 进程将执行它,而不是执行合法文件, 这是由于 dll 搜索顺序的工作方式所导致的,windows优先在该应用程序所在的目录中查找 dll.

该专家说, 该漏洞已被证实影响的产品,包括趋势科技, Emsisoft, 卡巴斯基实验室, Malwarebytes, CheckPoint(ZoneAlarm) 和Ikarus的杀毒软件。其他供应商的软件也受到了影响, 但它们的名称将会在发布补丁后才会公开。

Bogner 发布了两个单独的博客帖子, 详细介绍了针对 Emsisoft 和 Malwarebytes 产品的利用。在这些示例中, 攻击者可能将恶意 DLL 放在与这些安全产品关联的目录中, 以便 Emsisoft 保护服务和 Malwarebytes 服务进程分别加载恶意软件而不是合法的链接库文件。

Local Privilege Escalation in Emsisoft Anti-Malware by abusing NTFS Directory Junctions #AVGater

<!--//--><![CDATA[//><!-- !function(a,b){"use strict";function c(){if(!e){e=!0;var a,c,d,f,g=-1!==navigator.appVersion.indexOf("MSIE 10"),h=!!navigator.userAgent.match(/Trident.*rv:11./),i=b.querySelectorAll("iframe.wp-embedded-content");for(c=0;c<i.length;c++){if(d=i[c],!d.getAttribute("data-secret"))f=Math.random().toString(36).substr(2,10),d.src+="#?secret="+f,d.setAttribute("data-secret",f);if(g||h)a=d.cloneNode(!0),a.removeAttribute("security"),d.parentNode.replaceChild(a,d)}}}var d=!1,e=!1;if(b.querySelector)if(a.addEventListener)d=!0;if(a.wp=a.wp||{},!a.wp.receiveEmbedMessage)if(a.wp.receiveEmbedMessage=function(c){var d=c.data;if(d.secret||d.message||d.value)if(!/[^a-zA-Z0-9]/.test(d.secret)){var e,f,g,h,i,j=b.querySelectorAll('iframe[data-secret="'+d.secret+'"]'),k=b.querySelectorAll('blockquote[data-secret="'+d.secret+'"]');for(e=0;e<k.length;e++)k[e].style.display="none";for(e=0;e<j.length;e++)if(f=j[e],c.source===f.contentWindow){if(f.removeAttribute("style"),"height"===d.message){if(g=parseInt(d.value,10),g>1e3)g=1e3;else if(~~g<200)g=200;f.height=g}if("link"===d.message)if(h=b.createElement("a"),i=b.createElement("a"),h.href=f.getAttribute("src"),i.href=d.value,i.host===h.host)if(b.activeElement===f)a.top.location.href=d.value}else;}},d)a.addEventListener("message",a.wp.receiveEmbedMessage,!1),b.addEventListener("DOMContentLoaded",c,!1),a.addEventListener("load",c,!1)}(window,document);//--><!]]&gt;

Local Privilege Escalation in Malwarebytes 3 by abusing NTFS Directory Junctions #AVGater

<!--//--><![CDATA[//><!-- !function(a,b){"use strict";function c(){if(!e){e=!0;var a,c,d,f,g=-1!==navigator.appVersion.indexOf("MSIE 10"),h=!!navigator.userAgent.match(/Trident.*rv:11./),i=b.querySelectorAll("iframe.wp-embedded-content");for(c=0;c<i.length;c++){if(d=i[c],!d.getAttribute("data-secret"))f=Math.random().toString(36).substr(2,10),d.src+="#?secret="+f,d.setAttribute("data-secret",f);if(g||h)a=d.cloneNode(!0),a.removeAttribute("security"),d.parentNode.replaceChild(a,d)}}}var d=!1,e=!1;if(b.querySelector)if(a.addEventListener)d=!0;if(a.wp=a.wp||{},!a.wp.receiveEmbedMessage)if(a.wp.receiveEmbedMessage=function(c){var d=c.data;if(d.secret||d.message||d.value)if(!/[^a-zA-Z0-9]/.test(d.secret)){var e,f,g,h,i,j=b.querySelectorAll('iframe[data-secret="'+d.secret+'"]'),k=b.querySelectorAll('blockquote[data-secret="'+d.secret+'"]');for(e=0;e<k.length;e++)k[e].style.display="none";for(e=0;e<j.length;e++)if(f=j[e],c.source===f.contentWindow){if(f.removeAttribute("style"),"height"===d.message){if(g=parseInt(d.value,10),g>1e3)g=1e3;else if(~~g<200)g=200;f.height=g}if("link"===d.message)if(h=b.createElement("a"),i=b.createElement("a"),h.href=f.getAttribute("src"),i.href=d.value,i.host===h.host)if(b.activeElement===f)a.top.location.href=d.value}else;}},d)a.addEventListener("message",a.wp.receiveEmbedMessage,!1),b.addEventListener("DOMContentLoaded",c,!1),a.addEventListener("load",c,!1)}(window,document);//--><!]]&gt;

研究员没有指定何时通知其他防病毒供应商, 但他已经在2016末和2017初分别告知了Emsisoft 和 Malwarebytes , 他们在一周内发布了补丁。

AVGater漏洞利用需要用户可以恢复隔离文件

Bogner 还指出, 漏洞利用需要具有两个条件,1用户账户已被泄露;2该用户账户可以恢复隔离的文件。因此, 他建议各组织确保普通用户不能完成此类操作。

与任何其他软件类似, 安全产品也可能有可能被威胁行为者利用的严重漏洞。专家还警告说,防病病毒软件不仅可以增加黑客的攻击面, 而且还会削弱 HTTPS 的安全性。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

如何在网络中追踪入侵者(三):主机追踪

在之前的文章中,我们专注于追踪和分析从网络中得到的数据。但事实上,在网络中追踪不是唯一的选项。在企业的主机和服务器上有大量的数据集来发掘未知的恶意行为,包括运行...

1669
来自专栏FreeBuf

如何使用Twitter构建C;C服务器

写在前面的话 社交媒体网络对于企业的市场营销团队来说,绝对是一个非常好的推广平台。如果能够正确使用它们的话,绝对可以帮助企业带来新的商机。因此,社交媒体平台(例...

2395
来自专栏老九学堂

有个程序猿很忧桑:一个命令rm -rf/ ,他把整个公司删没了...

▼ 话说 最近有个程序猿很忧桑 ....... ? 因为弄错了一行代码 这哥们不小心把他整个公司 删没了 没了 了 ... ? ? 好吧.. 事情是这样的.....

2665
来自专栏申龙斌的程序人生

HD钱包【区块链生存训练】

早期的Bitcoin Core钱包一次性生成100个私钥,如果交易比较频繁,私钥可能会用光,然后再产生一批私钥,所以需要定期备份wallet.dat文件,否则会...

44911
来自专栏FreeBuf

Twitter不慎以纯文本形式泄漏用户密码

经过内部审计之后,Twitter近日承认,他们的密码存储机制存在错误,导致内部日志中记录了一些用户的密码。

702
来自专栏云计算D1net

从各“瘫痪”事件看如何安全备份数据库到云存储

近几周互联网企业频繁暴出各类“瘫痪”事件,网易、支付宝也身负重伤,而5月28日携程网站服务及App全站瘫痪,从事故发生至恢复长达近12小时,造成的损失不言而喻。...

3529
来自专栏菜鸟程序员

Github上出现PS4 4.05固件的内核利用,越狱指日可待

1354
来自专栏DHUtoBUAA

通过ODBC接口访问人大金仓数据库

  国产化软件和国产化芯片的窘境一样,一方面市场已经存在性能优越的同类软件,成本很低,但小众的国产化软件不仅需要高价买入版权,并且软件开发维护成本高;另一方面,...

700
来自专栏FreeBuf

小技巧:使用Cryptsetup加密U盘

如今U盘的存储和数据传输能力已经非常强了,可以跨各类平台运行,存储空间甚至达到了256G,堪比过去普通硬盘的容量。这里,我们将向你展示如何加密U盘,妈妈再也不用...

1849
来自专栏逸鹏说道

SQL Server安全(1/11):SQL Server安全概述

在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇...

2718

扫码关注云+社区