近日,CyberArk 公司的研究员从多款流行的反病毒软件解决方案中发现了多个漏洞,可导致攻击者提升权限,从而帮助恶意软件维持自己在受陷系统上的立足点。CyberArk 公司的研究员 EranShimony 发布报告称,和反恶意软件产品相关的高权限使得这些漏洞更易遭文件操纵攻击,从而导致恶意软件在系统上获得权限提升。这些 bug 影响大量反病毒解决方案,包括卡巴斯基、McAfee、赛门铁克、Fortinet、Check Point、趋势科技、Avira和微软 Defender。目前漏洞均已修复。其中最主要的缺陷可被用于导致攻击者从任意位置删除文件,导致攻击者能够删除系统中的任意文件,以及另外一个文件损坏漏洞,可导致恶意人员删除系统中任意文件的内容。报告指出,这些漏洞产生的原因在于默认的 Windows“C:\ProgramData”文件夹的 DACL(自由访问控制列表),应用程序通过该 DACL 在无需额外权限的情况下为标准用户存储数据。鉴于每个用户在目录的基本级别上都具有写和删除权限,因此当非权限进程在“ProgramData”中创建新可被权限进程后续访问的新文件时,就增加了权限提升的可能性。 | |
| Kaspersky Security Center | CVE-2020-25043、CVE-2020-25044、CVE-2020-25045 |
| McAfee Endpoint Security and McAfee Total Protection | CVE-2020-7250、CVE-2020-7310 |
| Symantec Norton Power Eraser | |
| |
| Check Point ZoneAlarm and Check Point Endpoint Security | |
| Trend Micro HouseCall for Home Networks | CVE-2019-19688、CVE-2019-19689 和其它三个未分配 CVE 编号的缺陷 |
| |
| |
在其中一种情况下,两个不同的进程(一个是权限进程,一个以认证的本地用户身份运行)共享相同的日志文件,从而可能导致攻击者利用权限进程删除该文件并创建一个符号链接,指向具有恶意内容的任意文件。之后,研究人员还探索了在权限进程执行前,在“C:\ProgramData”中新建文件夹的可能性。他们发现当 McAfee 反病毒安装程序在新建“McAfee”文件夹后运行时,标准的用户能够完全控制该目录,从而导致本地用户能够通过执行符号链接攻击提升权限。最后是出现在趋势科技、Fortinet 和其它反病毒解决方案中的一个 DLL 劫持缺陷,可导致攻击者将恶意 DLL 文件置于应用程序目录中并提升权限。研究人员指出,必须对访问控制列表进行限制,阻止任意删除漏洞,更新安装框架,环节 DLL 劫持攻击。虽然这些漏洞问题已得到解决,但报告是为了提醒用户称软件漏洞,包括旨在提供反病毒解决方案的软件漏洞,能够成为恶意软件的中转地。报告指出,“这些漏洞通常意味着本地系统的权限完全提升。由于安全产品的权限级别很高,因此其中的错误有助于恶意软件维持其立足点并对组织机构带来更大的损害。”完整报告请见:https://www.cyberark.com/resources/threat-research-blog/anti-virus-vulnerabilities-who-s-guarding-the-watch-tower
https://thehackernews.com/2020/10/antivirus-software-vulnerabilities.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~