AVGater 攻击:可滥用反病毒软件隔离功能提权,影响卡巴斯基、趋势科技等多家安全厂商产品

2017-11-12 13:18:41 1 1030

HackerNews.cc 11 日消息,安全专家 Florian Bogner 近日设计了一种名为 AVGater 的攻击方法 ,可通过滥用某些杀毒软件的隔离功能来提升权限。目前已确认有包括卡巴斯基、趋势科技,Check Point 在内的多个流行反病毒软件也受此漏洞影响,均可通过滥用隔离功能感染系统并提权。




安全专家 Bogner 的表示,攻击者先通过引导杀毒软件软件将恶意 DLL 文件放入隔离区,然后攻击者利用软件 (具备 SYSTEM 权限)的 Windows 进程来恢复该文件。然而恶意 DLL 并不会被恢复到原始路径,而是进入操作系统执行特权的区域(如 Program Files 或 Windows 文件夹),而在此区域内低权限用户根本无法删除恶意文件。



“如果一个非特权用户能够操纵跨越安全边界的任何通信通道(”非特权用户模式到特权用户模式“或”特权用户模式到内核模式“),那么他将能够提升他的特权。”Bogner 表示,正如视频中所演示的情况,文件恢复过程通常由具备特权的杀毒软件执行,因此文件系统 ACL 是可以被规避的(因为它们并不真正指望 SYSTEM 用户权限)。这种类型的问题被称为特权文件写入漏洞,可用于在系统中的任何位置放置恶意 DLL。同时专家也强调,AVGater 漏洞只能是在“受影响系统可以恢复被隔离文件”的情况下被利用。




影响卡巴斯基、趋势科技等多家安全厂商产品

研究人员表示,目前漏洞影响到来自 Emsisoft,卡巴斯基实验室,Malwarebytes,趋势科技,Check Point 和 Ikarus 的反病毒软件,其他厂商的反病毒解决方案也会受到影响,但考虑到问题严重性目前不便透露这些厂商的名称。



安全专家 Bogner 目前仅发表了针对 Emsisoft 和 Malwarebytes 反病毒软件的 AVGater 攻击详细分析报告 ,Emsisoft 和 Malwarebytes 官方也已在一周内发布了安全补丁。HackerNews.cc 在此提醒读者朋友们尽快留意安全厂商发布的相关信息并及时更新反病毒产品。

详细报告内容:<#AVGater: Getting Local Admin by Abusing the Anti-Virus Quarantine>




文章编译自 securityaffairs.co,译者:FOX

关于作者

评论1次

要评论?请先  登录  或  注册