杀毒等安全软件的目的在保护用户不受恶意程序所害,但是近日安全研究人员却在McAfee、卡巴斯基、趋势科技、微软等10家厂商产品中发现有漏洞可被黑客利用,反而对用户发动攻击。
CyberArk研究人员Eran Shimony指出,杀毒软件往往比其他程序具有更高的权限,使其容易成为黑客的目标,利用其漏洞进行操弄,进而借其高权限对用户系统发动攻击。研究人员在主流的安全软件,包括Kaspersky、McAfee、赛门铁克、Fortinet、Check Point、趋势科技、Avira、Avast、F-Secure和Microsoft Defender上都发现到若干漏洞,可让黑客删除系统文件,或是造成文件毁损来删除系统上任何文件内容。
例如,其中一些漏洞和ProgramData目录下的判别式访问控制表(Discretionary Access Control List,DACL)有关。在Windows上,ProrgramData目录是应用程序存储非只属于单一用户的资料,这表示可为一个以上的行程或服务共享,包括高权限行程及低权限行程,而且任何权限的用户都可以自由访问和修改ProgramData下的文件。
因此这就给了攻击者可乘之机,发动权限升级攻击;新建一个ProgramData目录,利用低权限行程修改ProgramData下的文件,使恶意共享文件可为高权限行程所用。研究人员特别说明了两种攻击,一是创建符号连接(symbolic link)档,指向带有恶意内容的任意文件。其次是DLL劫持,攻击者在该目录内植入恶意DLL档,让共享该DLL档的合法应用程序执行恶意行为。
在经过测试下,研究人员发现McAfee、Avira杀毒软件可被操弄,使本机用户发动符号连接攻击取得升级权限,而趋势科技等软件则遭DLL劫持攻击。
研究人员也列出各家厂商的漏洞编号
卡巴斯基:CVE-2020-25045、CVE-2020-25044、CVE-2020-25043
McAfee:CVE-2020-7250、CVE-2020-7310
赛门铁克:CVE-2019-19548
Fortinet:CVE-2020-9290
Checkpoint:CVE-2019-8452
趋势科技:CVE-2019-19688、CVE-2019-19689 +3
Avira:CVE-2020-13903
微软Defender-CVE-2019-1161
Avast及F-Secure尚未有漏洞编号。
CyberArk已分别通知这些厂商,所有厂商也都完成漏洞的修补,该公司并特别指出以卡巴斯基回应最为迅速。
这些漏洞也可能会发生在自行开发的应用程序上,因此研究人员也针对开发人员提出建议,包括限制访问ProgramData DACL的行程,小心有创建冒充ProgramData文件的行为、更新安装框架到最新版,或用较安全的Windows MSI等。