首页 >> 网络安全 >>极客新闻 >> 顶级防病毒软件中的新缺陷可能使计算机更容易受到攻击
详细内容

顶级防病毒软件中的新缺陷可能使计算机更容易受到攻击

时间:2020-10-06     作者:Ravie Lakshmanan   阅读

网络安全研究人员今天披露了在流行的防病毒解决方案中发现的安全漏洞的详细信息,这些漏洞可以使攻击者提升其特权,从而帮助恶意软件在受感染的系统上保持立足之地。

根据CyberArk Labs今天发布并与The Hacker News分享的一份报告,经常与反恶意软件产品相关联的高特权使它们更容易通过文件操作攻击被利用,从而导致恶意软件在系统上获得更高权限的情况。


这些错误会影响广泛的防病毒解决方案,包括来自卡巴斯基,McAfee,Symantec,Fortinet,Check Point,趋势科技,Avira和Microsoft Defender的解决方案,每个解决方案均已由各自的供应商修复。


缺陷中的主要缺陷是能够从任意位置删除文件,从而使攻击者可以删除系统中的任何文件,以及一个文件损坏漏洞,该漏洞使不良行为者可以删除系统中任何文件的内容。


对于每个CyberArk,这些错误是由Windows的“ C:\ ProgramData”文件夹的默认DACL(自由访问控制列表的缩写)导致的,这些错误由应用程序存储,用于为标准用户存储数据,而无需其他权限。


假定每个用户在目录的基本级别上都具有写和删除权限,那么当非特权进程在“ ProgramData”中创建新文件夹时,特权升级的可能性就会增加,该文件夹以后可以由特权进程访问。

image.png

在一个案例中,观察到两个不同的进程(一个特权进程,另一个以经过身份验证的本地用户身份运行)共享同一个日志文件,从而可能使攻击者利用特权进程删除该文件并创建一个符号链接,指向任何包含恶意内容的任意文件。


随后,CyberArk研究人员还探讨了在特权进程执行之前在“ C:\ ProgramData”中创建新文件夹的可能性。


通过这样做,他们发现在创建“ McAfee”文件夹后运行McAfee防病毒安装程序时,标准用户对目录具有完全控制权,从而允许本地用户通过执行符号链接攻击来获得提升的权限。


最重要的是,攻击者可能已经利用了趋势科技,Fortinet和其他防病毒解决方案中的DLL劫持漏洞,将恶意DLL文件放入应用程序目录中并提升特权。


敦促访问控制列表必须严格限制以防止任意删除漏洞,CyberArk强调需要更新安装框架以缓解DLL劫持攻击。


尽管这些问题可能已经解决,但该报告提醒我们,软件中的缺陷(包括旨在提供防病毒保护的缺陷)可能是恶意软件的传播渠道。


CyberArk研究人员说:“这些错误的含义通常是本地系统的完全特权升级。” 由于安全产品的特权级别很高,它们中的错误可以帮助恶意软件维持其立足点,并对组织造成更大的损害。”

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录