【防不勝防】防毒軟件反令電腦曝露於危機
網絡安全研究人員披露常見防毒解決方案中,所發現的漏洞,竟然提升了黑客特權,令惡意軟件能夠在入侵系統後橫行!CyberArk Labs 一份報告指出,高特權經常與反惡意軟件產品有關聯,使它們更易受檔案攻擊,繼而令惡意軟件在系統上獲得更高權限。這些受影響的防病毒解決方案,來自 Kaspersky、McAfee、Symantec、Fortinet、Check Point、Trend Micro、Avira 和 Microsoft Defende,現時每個解決方案均已由各自的供應商修復。
這些漏洞中最嚴重的是黑客能在隨意在不同位置刪除系統中的檔案,或者造成檔案損毁。根據 CyberArk 研究,這些錯誤是由 Windows 的「C:\ ProgramData」文件夾的默認 DACL(Discretionary Access Control Lists)所造成,令用戶在程序存取數據,無需其他權限。所以當每個用戶都有在基本目錄(Base level of directory)中有輸入及刪除權限,便會導致當非特權進程在 ProgramData 中開設新文件夾後,獲得特權提升。
在其中一個案例中,研究人員觀察兩個不同的進程,一個是經特權進程運行,而另一個則是經身份驗證的用戶身份運行,他們共享同一個 log 文件,這令攻擊者可能可利用特權進程,刪除文件並創建一個符號連結(symbolic link), 指向任何包含惡意內容的任意文件。
CyberArk 指出,攻擊者可能已經利用了 Trend Micro、Fortinet 和其他防病毒解決方案中的 DLL 漏洞,將惡意 DLL 文件放入應用程序目錄中,並提升特權。CyberArk 指,訪問控制列表必須有嚴格限制以堵漏,強調需要更新安裝 framework ,以解除 DLL 劫持攻擊。儘管這些問題可能已經解決,CyberArk 報告提醒大家,即使是提供防病毒保護的軟件,也可能是惡意軟件的傳播渠道。
