多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权
多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权
几款常见的反病毒软件中曝出存在一种可让攻击者利用隔离区来提升恶意软件权限的问题,涉及的反病毒软件厂商具体有趋势科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 。其他厂商的反病毒软件也有可能受到影响。
攻击利用方法
攻击者如果侵入了计算机系统,他们总是会想要提权来获取机密数据,并自如地穿梭在网络中之中。近日,信息安全审计员 Florian Bogner 发现了一种全新的提权方法:利用反病毒软件的隔离区特性。这种攻击方法 AVGater 的具体实现,组合利用了几个反病毒软件的设计漏洞和已知技巧。
按照 Bogner 的说法,这个攻击首先使用恶意 DLL 文件放入防病毒软件的隔离区。然后攻击者可以利用安全软件的 Windows 进程(SYSTEM权限)来修复这个文件。但毕竟是恶意文件,它并不会回到原始路径下,而是能够移动到操作系统的特权区域——比如 Program Files 或者 Windows 文件夹中——这样这个恶意文件就不会被低权限的用户处理掉。
一旦恶意 DLL 文件移动到了目标文件夹中,与该文件夹所关联的 Windows 进程自然就会执行相关的工作,恶意 DLL 就这样会被执行。
及时更新反病毒软件产品
据了解,目前这个漏洞会影响趋势科技、Emsisoft, 卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒软件。其他厂商的反病毒软件也有可能受到影响(在修复程序放出之前并不会公开这些厂商的名字)。
想要了解具体的内容,可以参考 Bogner 发布的两篇博客:他针对这个问题分别为Emsisoft 以及 Malwarebytes 厂商的反病毒软件进行了剖析。你可以看到他是如何从攻击者视角进行分析,放置恶意DLL文件和提权。
所以说,安全产品也和其他软件产品一样,都会存在漏洞和问题,可能被其他目的的人利用。