示意圖

防毒等安全軟體的目的在保護用戶不受惡意程式所害,但是近日安全研究人員卻在McAfee、卡巴斯基、趨勢科技、微軟等10家廠商產品中發現有漏洞可被駭客利用,反而對用戶發動攻擊。

CyberArk研究人員Eran Shimony指出,防毒軟體往往比其他程式具有更高的權限,使其容易成為駭客的目標,利用其漏洞進行操弄,進而藉其高權限對用戶系統發動攻擊。研究人員在主流的安全軟體,包括Kaspersky、McAfee、賽門鐵克、Fortinet、Check Point、趨勢科技、Avira、Avast、F-Secure和Microsoft Defender上都發現到若干漏洞,可讓駭客刪除系統檔案,或是造成檔案毁損來刪除系統上任何檔案內容。

例如,其中一些漏洞和ProgramData目錄下的判別式存取控制表(Discretionary Access Control List,DACL)有關。在Windows上,ProrgramData目錄是應用程式儲存非只屬於單一用戶的資料,這表示可為一個以上的行程或服務共用,包括高權限行程及低權限行程,而且任何權限的使用者都可以自由存取和修改ProgramData下的檔案。

因此這就給了攻擊者可趁之機,發動權限升級攻擊;新建一個ProgramData目錄,利用低權限行程修改ProgramData下的檔案,使惡意共用檔案可為高權限行程所用。研究人員特別說明了兩種攻擊,一是建立符號連結(symbolic link)檔,指向帶有惡意內容的任意檔案。其次是DLL劫持,攻擊者在該目錄內植入惡意DLL檔,讓共用該DLL檔的合法應用程式執行惡意行為。

在經過測試下,研究人員發現McAfee、Avira防毒軟體可被操弄,使本機用戶發動符號連結攻擊取得升級權限,而趨勢科技等軟體則遭DLL劫持攻擊。

研究人員也列出各家廠商的漏洞編號

卡巴斯基:CVE-2020-25045、CVE-2020-25044、CVE-2020-25043

McAfee:CVE-2020-7250、CVE-2020-7310

賽門鐵克:CVE-2019-19548

Fortinet:CVE-2020-9290

Checkpoint:CVE-2019-8452

趨勢科技:CVE-2019-19688、CVE-2019-19689 +3

Avira:CVE-2020-13903

微軟Defender-CVE-2019-1161

Avast 及F-Secure尚未有漏洞編號。

Cyber Ark已分別通知這些廠商,所有廠商也都完成漏洞的修補,該公司並特別指出以卡巴斯基回應最為迅速。

這些漏洞也可能會發生在自行開發的應用程式上,因此研究人員也針對開發人員提出建議,包括限制存取ProgramData DACL的行程,小心有建立冒充ProgramData檔案的行為、更新安裝框架到最新版,或用較安全的Windows MSI等。


熱門新聞

Advertisement