专栏首页菜鸟程序员多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

几款常见的反病毒软件中曝出存在一种可让攻击者利用隔离区来提升恶意软件权限的问题,涉及的反病毒软件厂商具体有趋势科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 。其他厂商的反病毒软件也有可能受到影响。

攻击利用方法

攻击者如果侵入了计算机系统,他们总是会想要提权来获取机密数据,并自如地穿梭在网络中之中。近日,信息安全审计员 Florian Bogner 发现了一种全新的提权方法:利用反病毒软件的隔离区特性。这种攻击方法 AVGater 的具体实现,组合利用了几个反病毒软件的设计漏洞和已知技巧。

按照 Bogner 的说法,这个攻击首先使用恶意 DLL 文件放入防病毒软件的隔离区。然后攻击者可以利用安全软件的 Windows 进程(SYSTEM权限)来修复这个文件。但毕竟是恶意文件,它并不会回到原始路径下,而是能够移动到操作系统的特权区域——比如 Program Files 或者 Windows 文件夹中——这样这个恶意文件就不会被低权限的用户处理掉。

一旦恶意 DLL 文件移动到了目标文件夹中,与该文件夹所关联的 Windows 进程自然就会执行相关的工作,恶意 DLL 就这样会被执行。

及时更新反病毒软件产品

据了解,目前这个漏洞会影响趋势科技、Emsisoft, 卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒软件。其他厂商的反病毒软件也有可能受到影响(在修复程序放出之前并不会公开这些厂商的名字)。

想要了解具体的内容,可以参考 Bogner 发布的两篇博客:他针对这个问题分别为Emsisoft 以及 Malwarebytes 厂商的反病毒软件进行了剖析。你可以看到他是如何从攻击者视角进行分析,放置恶意DLL文件和提权。

所以说,安全产品也和其他软件产品一样,都会存在漏洞和问题,可能被其他目的的人利用。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • WindowsMovieMaker微软不支持了 黑客来接手

    用户1697231
  • IBM X-Force发现新型银行木马IcedID

    用户1697231
  • 【Java】随机数详解

    用户1697231
  • linux时钟同步

    二狗不要跑
  • 修改Host文件优化github访问速度

    最近可能是一些不为人知的原因,我在家里使用电脑时,github 访问的速度实在难以忍受,就连常规的提交代码都非常的慢,尝试了一下 ping github.com...

    Originalee
  • JavaScript 变量作用域

    变量作用域指的是变量的作用范围,javascript中的变量分为全局变量和局部变量。

    Devops海洋的渔夫
  • Elasticsearch 再发数据泄露事件,包含 27 亿邮箱数据和10 亿明文密码,波及多家中国大厂用户数据!

    就在不到一个月之前,安全人员 Bob Diachenko 和 Vinny Troia 发现了一个公开可访问的 Elasticsearch 服务器,其中包含 1...

    iMike
  • Docker使用命令

    Dockerfile是一个包含用于组合镜像的命令的文本文档 Docker通过读取Dockerfile中的指令按步自动生成镜像

    斯武丶风晴
  • 阿里与百联战略合作,为何中美电商玩法越来越不同?

    近日阿里巴巴与零售巨头百联集团达成战略合作,这只是阿里巴巴布局线下实体商业的一个常规动作,正如之前投资银泰百货、苏宁、三江和河马生鲜一样。每一次战略合作或者投资...

    罗超频道
  • 王昊奋:大规模知识图谱技术

    大数据文摘

扫码关注云+社区

领取腾讯云代金券