10大安全軟件爆出漏洞
防病毒等安全軟件的目的是保護用戶免受惡意程序的攻擊。不過,最近,安全研究人員發現,麥卡菲、卡巴斯基、趨勢科技、微軟等10家廠商的產品存在漏洞,這些漏洞可以被黑客利用,轉而對用戶發動攻擊。
賽博方舟研究人員伊蘭·希蒙尼認為,殺毒軟件通常比其他程序擁有更高的權限,很容易成為黑客攻擊的目標,利用其漏洞進行操縱,然后利用其高權限對用戶系統發動攻擊。研究人員在主流安全軟件中發現了多個漏洞,包括卡巴斯基、麥卡菲、賽門鐵克、Fortinet、check point、trend technology、Avira、avast、F-Secure和Microsoft defender,這些漏洞可以讓黑客刪除系統文件或銷毀文件以刪除系統上的任何文件內容。
例如,其中一些漏洞與programdata目錄中的區分訪問控制列表(DACL)有關。在windows上,programdata目錄是一個應用程序,它存儲不屬于單個用戶的數據。這意味著它可以為多個行程或服務共享,包括高特權行程和低特權行程。此外,任何權限的用戶都可以自由訪問和修改programdata下的文件。
因此,攻擊者有機會發起權限升級攻擊;通過使用低權限行程創建新的programdata目錄并修改programdata下的文件,從而使惡意共享文件被高權限行程使用。研究人員特別描述了兩種類型的攻擊。方法是創建指向帶有惡意內容的任意文件的符號鏈接文件。第二種是DLL劫持,攻擊者將惡意DLL文件植入目錄,使共享DLL文件的合法應用程序執行惡意行為。
經過測試,研究人員發現,McAfee和Avira殺毒軟件可以被操縱,使本地用戶能夠發起符號連接攻擊并獲得升級權限,而trend technology等軟件則被DLL劫持。
cve-2020;cve-2020;cve-2020;cve-2020;cve-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;cve-2020;cve-2020;CV50-2020;cve-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;CV50-2020;cve-2020;CV50-2020;CV50-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;cve-2020;CV50-2020;cve-2020,cve-2019-2019-2019-7310
McAfee:cve-2020-2020-25045、cve-2020-2020-25044、cve-2020-2020-25043;McAfee:cve:cve McAfee 19689+3。Avira:cve-2020-13903;Microsoft defender-cve-2019-1161;avast和F-Secure沒有漏洞編號。
賽博方舟已經分別通知了這些供應商,他們都已經完成了漏洞的修復,并指出卡巴斯基的反應最快。
這些漏洞也可能發生在自行開發的應用程序中。因此,研究人員也為開發者提出了一些建議,包括限制對programdatadacl的訪問,小心地創建偽programmata文件,將安裝框架更新到最新版本,或者使用更安全的windows MSI。
