拥有高市场占有的赛门铁克企业杀毒软件(Symantec Endpoint Protection,SEP),自去年的下半年开始,出现了不少严重的漏洞,像是本地端权限漏洞,可让黑客随着SEP启动在受害计算机持续加载恶意程序,还有因病毒码更新导致计算机出现BSOD而无法使用等情况,再加上赛门铁克的企业安全业务,被博通(Broadcom)买下后,SEP能否继续得到妥善维护?引发用户高度的关注。
我们看到最近有中国网站翻译一篇文章,内容是知名的IT顾问公司Accenture,针对一个SEP用户端在半年前被发现的漏洞,披露细节与概念性验证攻击。这个漏洞的列管编号是CVE-2020-5825,影响Windows版的SEP,以及中小企业版本的Symantec Endpoint Protection Small Bussiness Edition(SEP SBE),赛门铁克已推出14.2 RU2 MP1(14.2.5569.2100)版修补相关漏洞。这项漏洞目前没有传出遭到滥用的情况,虽然大部分采用SEP的端点计算机,应该都会自动更新,但如果不是受到集中管控的端点计算机,Accenture呼吁,用户应该要赶紧安装新版软件。不过,为何在时隔半年后,才披露这项漏洞的详细资料,Accenture没有进一步说明。
这项漏洞能够让黑客,借由没有特殊权限的本地端用户账号,发动任意文件移动(Arbitrary File Move)攻击。Accenture发现这项漏洞后,向Zero Day Initiative(ZDI)通报,ZDI评估其CVSS 3.0版的风险等级为7.1分,严格来说,算是风险程度偏高的漏洞。根据ZDI的说明,这项漏洞存在于SEP的AvHostPlugin.dll,能被本地端的攻击者滥用,借由调用某个COM类别的方法,来移动受害计算机里的任意文件,进而发动拒绝服务(DoS)攻击。ZDI指出,黑客也可搭配其他的弱点,来提升访问权限,并且在系统层执行程序代码。
所谓的任意文件移动,也被称为任意文件写入(Arbitrary File Writing),指的是允许用户从受管控的文件夹,将文件移动到其他路径能随意将文件写入目标计算机,而能够被滥用于在系统上下文任意程序代码执行。而在赛门铁克的公告里,则是指出因为会导致任意文件写入攻击,黑客从而能够在没有充分权限的情况下,复写受害计算机里现有的文件。