AVGater攻击:可滥用反病毒软件隔离功能提权,影响多家安全软件厂商产品
安全专家 Florian Bogner 近日设计了一种名为AVGater的攻击方法 ,可通过滥用某些杀毒软件的隔离功能来提升权限。涉及的反病毒软件厂商具体有趋势科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus ,其他厂商的反病毒软件也有可能受到影响。AVGater可通过滥用隔离功能感染系统并提权。安全专家 Bogner 的表示,攻击者先通过引导杀毒软件软件将恶意 DLL 文件放入隔离区,然后攻击者利用软件 (具备 SYSTEM 权限)的 Windows 进程来恢复该文件。然而恶意 DLL 并不会被恢复到原始路径,而是进入操作系统执行特权的区域(如 Program Files 或 Windows 文件夹),而在此区域内低权限用户根本无法删除恶意文件。
http://hackernews.cc/wp-content/uploads/2017/11/%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7-2017-11-12-07.32.37-600x307.png
“如果一个非特权用户能够操纵跨越安全边界的任何通信通道(”非特权用户模式到特权用户模式“或”特权用户模式到内核模式“),那么他将能够提升他的特权。”Bogner 表示,文件恢复过程通常由具备特权的杀毒软件执行,因此文件系统 ACL 是可以被规避的(因为它们并不真正指望 SYSTEM 用户权限)。这种类型的问题被称为特权文件写入漏洞,可用于在系统中的任何位置放置恶意 DLL。同时专家也强调,AVGater 漏洞只能是在“受影响系统可以恢复被隔离文件”的情况下被利用。
http://hackernews.cc/wp-content/uploads/2017/11/%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7-2017-11-12-07.32.46-600x311.png
影响卡巴斯基、趋势科技等多家安全厂商产品研究人员表示,目前漏洞影响到来自 Emsisoft,卡巴斯基实验室,Malwarebytes,趋势科技,Check Point 和 Ikarus 的反病毒软件,其他厂商的反病毒解决方案也会受到影响,但考虑到问题严重性目前不便透露这些厂商的名称。
http://hackernews.cc/wp-content/uploads/2017/11/%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7-2017-11-12-07.43.21-600x284.png安全专家 Bogner 目前仅发表了针对 Emsisoft 和 Malwarebytes 反病毒软件的 AVGater 攻击详细分析报告 ,Emsisoft 和 Malwarebytes 官方也已在一周内发布了安全补丁。用户应尽快留意安全厂商发布的相关信息并及时更新反病毒产品。详细报告内容:<#AVGater: Getting Local Admin by Abusing the Anti-Virus Quarantine>
swani13 发表于 2017-11-15 08:45
杀毒软件都是只能查杀已经出现过的病毒,新病毒是不是查杀的,只能是出现后更新软件才有效
云技术对新文件很快就会做出反应的。云技术的本质就是虚拟机。虚拟机会很快做出反应。而且他对所有新文件通吃。对网络蠕虫来说安装防病毒软件意义也不大。因为蠕虫病毒的源头很可能也安装了杀毒软件。在虚拟机当中安装虚拟机防病毒也是可行的。在加上沙盘一类的虚拟机就能规避病毒风险。
其实只要改变病毒的编写方法。就可以跳过杀毒软件的查杀。使虚拟机失效。很多病毒的代码都是复制和粘贴出来的结果。没有什么新东西。象网络蠕虫这样的新东西。杀毒软件也无能为力。除非他们大范围的重写自己的虚拟机代码。 杀毒软件都是只能查杀已经出现过的病毒,新病毒是不是查杀的,只能是出现后更新软件才有效 感谢分享! 受教了{:300_965:},谢谢 往往都是病毒出现,杀毒软件随病毒出现对策,感谢楼主对于日常操作者提示! 厉害了受教了 感谢分享 不过这个有点看不懂 感谢分享!{:300_957:} 分析的好专业 给你来个赞!
魔高一丈