AVGater漏洞突破防病毒软件 影响大批知名杀毒软件 PoC已经公开

一个研究人员在星期五警告说, 一些流行的防病毒产品受某种类型漏洞的影响, 攻击者可以通过滥用隔离功能,来进行本地提权。

一旦攻击者侵入系统, 他们可能需要以某种方式获得更高的权限, 以便访问允许他们在网络中 横向移动 攻击。奥地利 Kapsch的信息安全审计师 Florian Bogner表示, 他发现了一种新的方法来实现这一点,也就是滥用一些防病毒软件中的检疫功能(隔离功能)。这种攻击方法研究员命名为 AVGater, 它将漏洞及已知技术进行了组合。

AVGater攻击方式利用了杀毒软件的隔离功能及Windows Junctions文件链接功能

根据 Bogner的说法, 攻击从恶意 DLL 文件开始, 并由防病毒软件置于隔离文件夹中。然后, 攻击者滥用安全应用程序的 Windows 进程 (通常具有系统权限) 来还原该文件。但是, 恶意 DLL 不会恢复到其原始位置, 而是还原到一个不同的文件夹, 从中启动特权进程 (如程序文件或 Windows 文件夹), 其中的文件通常用户没有权限写入。

由于连接是 NTFS 文件系统支持的 文件链接 类型junctions, 因此在系统的任何位置写入还原文件都是可能的。Junctions是系统用于关联链接目录的链接形式。

大批杀毒软件受AVGater漏洞影响

将恶意 dll 放在目标文件夹中后, 与该文件夹关联的特权 windows 进程将执行它,而不是执行合法文件, 这是由于 dll 搜索顺序的工作方式所导致的,windows优先在该应用程序所在的目录中查找 dll.

该专家说, 该漏洞已被证实影响的产品,包括趋势科技, Emsisoft, 卡巴斯基实验室, Malwarebytes, CheckPoint(ZoneAlarm) 和Ikarus的杀毒软件。其他供应商的软件也受到了影响, 但它们的名称将会在发布补丁后才会公开。

Bogner 发布了两个单独的博客帖子, 详细介绍了针对 Emsisoft 和 Malwarebytes 产品的利用。在这些示例中, 攻击者可能将恶意 DLL 放在与这些安全产品关联的目录中, 以便 Emsisoft 保护服务和 Malwarebytes 服务进程分别加载恶意软件而不是合法的链接库文件。

Local Privilege Escalation in Emsisoft Anti-Malware by abusing NTFS Directory Junctions #AVGater

<!--//--><![CDATA[//><!-- !function(a,b){"use strict";function c(){if(!e){e=!0;var a,c,d,f,g=-1!==navigator.appVersion.indexOf("MSIE 10"),h=!!navigator.userAgent.match(/Trident.*rv:11./),i=b.querySelectorAll("iframe.wp-embedded-content");for(c=0;c<i.length;c++){if(d=i[c],!d.getAttribute("data-secret"))f=Math.random().toString(36).substr(2,10),d.src+="#?secret="+f,d.setAttribute("data-secret",f);if(g||h)a=d.cloneNode(!0),a.removeAttribute("security"),d.parentNode.replaceChild(a,d)}}}var d=!1,e=!1;if(b.querySelector)if(a.addEventListener)d=!0;if(a.wp=a.wp||{},!a.wp.receiveEmbedMessage)if(a.wp.receiveEmbedMessage=function(c){var d=c.data;if(d.secret||d.message||d.value)if(!/[^a-zA-Z0-9]/.test(d.secret)){var e,f,g,h,i,j=b.querySelectorAll('iframe[data-secret="'+d.secret+'"]'),k=b.querySelectorAll('blockquote[data-secret="'+d.secret+'"]');for(e=0;e<k.length;e++)k[e].style.display="none";for(e=0;e<j.length;e++)if(f=j[e],c.source===f.contentWindow){if(f.removeAttribute("style"),"height"===d.message){if(g=parseInt(d.value,10),g>1e3)g=1e3;else if(~~g<200)g=200;f.height=g}if("link"===d.message)if(h=b.createElement("a"),i=b.createElement("a"),h.href=f.getAttribute("src"),i.href=d.value,i.host===h.host)if(b.activeElement===f)a.top.location.href=d.value}else;}},d)a.addEventListener("message",a.wp.receiveEmbedMessage,!1),b.addEventListener("DOMContentLoaded",c,!1),a.addEventListener("load",c,!1)}(window,document);//--><!]]&gt;

Local Privilege Escalation in Malwarebytes 3 by abusing NTFS Directory Junctions #AVGater

<!--//--><![CDATA[//><!-- !function(a,b){"use strict";function c(){if(!e){e=!0;var a,c,d,f,g=-1!==navigator.appVersion.indexOf("MSIE 10"),h=!!navigator.userAgent.match(/Trident.*rv:11./),i=b.querySelectorAll("iframe.wp-embedded-content");for(c=0;c<i.length;c++){if(d=i[c],!d.getAttribute("data-secret"))f=Math.random().toString(36).substr(2,10),d.src+="#?secret="+f,d.setAttribute("data-secret",f);if(g||h)a=d.cloneNode(!0),a.removeAttribute("security"),d.parentNode.replaceChild(a,d)}}}var d=!1,e=!1;if(b.querySelector)if(a.addEventListener)d=!0;if(a.wp=a.wp||{},!a.wp.receiveEmbedMessage)if(a.wp.receiveEmbedMessage=function(c){var d=c.data;if(d.secret||d.message||d.value)if(!/[^a-zA-Z0-9]/.test(d.secret)){var e,f,g,h,i,j=b.querySelectorAll('iframe[data-secret="'+d.secret+'"]'),k=b.querySelectorAll('blockquote[data-secret="'+d.secret+'"]');for(e=0;e<k.length;e++)k[e].style.display="none";for(e=0;e<j.length;e++)if(f=j[e],c.source===f.contentWindow){if(f.removeAttribute("style"),"height"===d.message){if(g=parseInt(d.value,10),g>1e3)g=1e3;else if(~~g<200)g=200;f.height=g}if("link"===d.message)if(h=b.createElement("a"),i=b.createElement("a"),h.href=f.getAttribute("src"),i.href=d.value,i.host===h.host)if(b.activeElement===f)a.top.location.href=d.value}else;}},d)a.addEventListener("message",a.wp.receiveEmbedMessage,!1),b.addEventListener("DOMContentLoaded",c,!1),a.addEventListener("load",c,!1)}(window,document);//--><!]]&gt;

研究员没有指定何时通知其他防病毒供应商, 但他已经在2016末和2017初分别告知了Emsisoft 和 Malwarebytes , 他们在一周内发布了补丁。

AVGater漏洞利用需要用户可以恢复隔离文件

Bogner 还指出, 漏洞利用需要具有两个条件,1用户账户已被泄露;2该用户账户可以恢复隔离的文件。因此, 他建议各组织确保普通用户不能完成此类操作。

与任何其他软件类似, 安全产品也可能有可能被威胁行为者利用的严重漏洞。专家还警告说,防病病毒软件不仅可以增加黑客的攻击面, 而且还会削弱 HTTPS 的安全性。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

利用企业邮件系统构造命令控制(C&C)和数据窃取(Exfiltration)通道的思路探讨

本文通过对高度安全环境中,渗透入侵完成后,传统的基于Web和DNS管理控制目标系统不可行条件下,利用企业网页邮箱系统进行命令控制(C&C)和数据窃取(Exfil...

22410
来自专栏数据和云

DBA生存警示:误关闭生产库案例及防范建议

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》...

3457
来自专栏DeveWork

如何找出被黑客攻击后篡改的WordPress 文件?

如果你的WordPress 站点不幸被某个黑客攻击,那么你有必要找出黑客是否篡改过WordPress 的文件以防止其留下某些后门。本文为你介绍了一些快速查找被黑...

5398
来自专栏Java帮帮-微信公众号-技术文章全总结

Java微信支付【面试+工作】

Java微信支付【面试+工作】 微信支付文档上有刷卡支付,扫码支付,公众号支付,APP支付等各种支付手段。本次就微信内打开的网页支付为例子,用java进行实现一...

6785
来自专栏FreeBuf

DNS污染事件跟踪:为什么.cn和.org域名逃过一劫

关于中国境内用户访问.com 和.net 域名被解析到65.49.2.178 一事我又有新发现,我发现了为什么.cn 和.org 的域名没有受到影响指向65.4...

6886
来自专栏数据和云

Linux系统被入侵后处理经历

春节将至,让安全伴你行。网络安全,从我做起,没有绝对的安全,只有尽可能减少攻击面,提供系统防护能。 背景 操作系统:Ubuntu12.04_x64 运行业务:公...

4507
来自专栏finleyMa

有好用的PHP CMS吗

最新帮朋友做个企业站,说白了就是个简单的CMS。 纯展示类的。这种东西技术含量低,千万不要自己从头开发,只要找个现成的cms,改改模板就可以了。时间就是金钱,...

4022
来自专栏黑白安全

跨站点脚本(XSS)攻击

跨站点脚本(XSS)是一种常见的攻击媒介,可将恶意代码注入易受攻击的Web应用程序。XSS不同于其他网络攻击媒介(例如SQL注入),因为它不直接针对应用程序本身...

1011
来自专栏北京马哥教育

基于curl 的zabbix API调用

1,认证并取得加密字段 curl -i -X POST -H 'Content-Type: application/json' -d '{"jsonrpc": ...

4868
来自专栏酷玩时刻

微信公众号开发之刷卡支付

刷卡支付接入模式可分为:商户后台接入(提供给别人使用类似第三方)和门店接入(自己使用);区别就是支付结果多分发一次。

3104

扫码关注云+社区

领取腾讯云代金券