多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

几款常见的反病毒软件中曝出存在一种可让攻击者利用隔离区来提升恶意软件权限的问题,涉及的反病毒软件厂商具体有趋势科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 。其他厂商的反病毒软件也有可能受到影响。

攻击利用方法

攻击者如果侵入了计算机系统,他们总是会想要提权来获取机密数据,并自如地穿梭在网络中之中。近日,信息安全审计员 Florian Bogner 发现了一种全新的提权方法:利用反病毒软件的隔离区特性。这种攻击方法 AVGater 的具体实现,组合利用了几个反病毒软件的设计漏洞和已知技巧。

按照 Bogner 的说法,这个攻击首先使用恶意 DLL 文件放入防病毒软件的隔离区。然后攻击者可以利用安全软件的 Windows 进程(SYSTEM权限)来修复这个文件。但毕竟是恶意文件,它并不会回到原始路径下,而是能够移动到操作系统的特权区域——比如 Program Files 或者 Windows 文件夹中——这样这个恶意文件就不会被低权限的用户处理掉。

一旦恶意 DLL 文件移动到了目标文件夹中,与该文件夹所关联的 Windows 进程自然就会执行相关的工作,恶意 DLL 就这样会被执行。

及时更新反病毒软件产品

据了解,目前这个漏洞会影响趋势科技、Emsisoft, 卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒软件。其他厂商的反病毒软件也有可能受到影响(在修复程序放出之前并不会公开这些厂商的名字)。

想要了解具体的内容,可以参考 Bogner 发布的两篇博客:他针对这个问题分别为Emsisoft 以及 Malwarebytes 厂商的反病毒软件进行了剖析。你可以看到他是如何从攻击者视角进行分析,放置恶意DLL文件和提权。

所以说,安全产品也和其他软件产品一样,都会存在漏洞和问题,可能被其他目的的人利用。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏土豆专栏

计算机网络基础知识整理--网络层

小编最近在复习计算机网络基础,整理出来一些我认为比较重要的知识。希望能帮到大家哈,后续会更新~

70722
来自专栏FreeBuf

我是如何黑掉英国间谍软件公司Gamma的

前几天,有黑客《入侵了英国间谍软件公司Gamma》。本文翻译自黑客自己公布的入侵指南。详细的介绍了从信息收集,到发现目标站点,以及进行源码审计,绕过waf注入,...

23110
来自专栏花叔的专栏

解读一下小程序拉起APP的功能

那天花叔在电影院看电影,突然看到小程序官方发了一条更新信息“小程序支持打开移动应用”,What!?这么牛逼么?于是就去研究了一下....然后...我就没那么鸡血...

5778
来自专栏FreeBuf

Android系统到底安不安全?细数Android7.0 Nougat的几大安全增强功能

关于Android7.0 Nougat(牛轧糖) 众所周知,2016年的GoogleI/O开发者大会已经在美国时间的5月18日成功召开了,而在此次大会上,Goo...

1986
来自专栏FreeBuf

走近科学:我是如何入侵Instagram查看你的私人片片的

在这篇文章中,我想介绍几个月前我在Instagram站点和移动应用中发现的一个漏洞(现在已被修复好了)。 Instagram又是什么? 维基百科这样介绍: “I...

2.1K7
来自专栏黑白安全

渗透测试中的攻与守

渗透测试(Penetration Test)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试能够直观...

783
来自专栏知晓程序

开发|只需 10 分钟!让你的小程序轻松接入「微信支付」

你可能需要花半天时间看微信支付文档,再花半天调试支付签名,最后还得加两天时间搞定支付回调通知以及和自己的业务结合。

1032
来自专栏企鹅号快讯

著名安全厂商 FOX-IT 证实遭中间人攻击

位于荷兰的著名安全厂商Fox-IT(Fox-IT 公司向全球的大型企业提供IT安全管理和威胁情报服务)今天披露称,一小部分 Fox-IT 用户遭受不知名黑客的中...

3487
来自专栏FreeBuf

谷歌可远程更改安卓设备密码,影响74%设备

根据纽约地区检察官办公室的一份报告所述,只要有法院命令,谷歌能够非常容易地远程重置旧版本Android系统的密码,调查人员可以轻易地查看设备上的内容。 这份报告...

1867
来自专栏云计算D1net

前方高能!保护Docker容器须知

容器技术(尤其是Docker)正继续以其自有的方式在企业中发展着。它们与其他任何技术一样,IT专业人士们的任务就是为确保Docker容器的安全性而制定出一份策略...

2933

扫码关注云+社区