https://www.ithome.com.tw/news/140425
安全研究人员发现McAfee、卡巴斯基、趋势科技、微软等10家厂商的安全软件有漏洞,可被
骇客利用对使用者发动攻击,厂商获报后已完成修补
按赞加入iThome粉丝团
文/林妍溱 | 2020-10-08发表
示意图
.
防毒等安全软件的目的在保护用户不受恶意程式所害,但是近日安全研究人员却在McAfee、
卡巴斯基、趋势科技、微软等10家厂商产品中发现有漏洞可被骇客利用,反而对用户发动攻
击。
CyberArk研究人员Eran Shimony指出,防毒软件往往比其他程式具有更高的权限,使其容易
成为骇客的目标,利用其漏洞进行操弄,进而藉其高权限对用户系统发动攻击。研究人员在
主流的安全软件,包括Kaspersky、McAfee、赛门铁克、Fortinet、Check Point、趋势科技
、Avira、Avast、F-Secure和Microsoft Defender上都发现到若干漏洞,可让骇客删除系统
档案,或是造成档案毁损来删除系统上任何档案内容。
例如,其中一些漏洞和ProgramData目录下的判别式存取控制表(Discretionary Access Co
ntrol List,DACL)有关。在Windows上,ProrgramData目录是应用程式储存非只属于单一
用户的资料,这表示可为一个以上的行程或服务共用,包括高权限行程及低权限行程,而且
任何权限的使用者都可以自由存取和修改ProgramData下的档案。
因此这就给了攻击者可趁之机,发动权限升级攻击;新建一个ProgramData目录,利用低权
限行程修改ProgramData下的档案,使恶意共用档案可为高权限行程所用。研究人员特别说
明了两种攻击,一是建立符号连结(symbolic link)档,指向带有恶意内容的任意档案。
其次是DLL劫持,攻击者在该目录内植入恶意DLL档,让共用该DLL档的合法应用程式执行恶
意行为。
在经过测试下,研究人员发现McAfee、Avira防毒软件可被操弄,使本机用户发动符号连结
攻击取得升级权限,而趋势科技等软件则遭DLL劫持攻击。
研究人员也列出各家厂商的漏洞编号
卡巴斯基:CVE-2020-25045、CVE-2020-25044、CVE-2020-25043
McAfee:CVE-2020-7250、CVE-2020-7310
赛门铁克:CVE-2019-19548
Fortinet:CVE-2020-9290
Checkpoint:CVE-2019-8452
趋势科技:CVE-2019-19688、CVE-2019-19689 +3
Avira:CVE-2020-13903
微软Defender-CVE-2019-1161
Avast 及F-Secure尚未有漏洞编号。
Cyber Ark已分别通知这些厂商,所有厂商也都完成漏洞的修补,该公司并特别指出以卡巴
斯基回应最为迅速。
这些漏洞也可能会发生在自行开发的应用程式上,因此研究人员也针对开发人员提出建议,
包括限制存取ProgramData DACL的行程,小心有建立冒充ProgramData档案的行为、更新安
装框架到最新版,或用较安全的Windows MSI等。