防毒軟體反成駭客跳板?!安全軟體有漏洞反而危害更烈

網路安全研究人員今天公佈多家知名防毒軟體的安全漏洞,可讓駭客擴張權限,而讓惡意程式得以躲在受害系統中不被發現,反而對用戶帶來安全威脅。

網路安全研究人員今天公佈多家知名防毒軟體的安全漏洞,可讓駭客擴張權限,而讓惡意程式得以躲在受害系統中不被發現,反而對用戶帶來安全威脅。

根據CyberArk研究人員Eran Shimony公佈的報告,防毒軟體往往擁有更高權限,這使得他們更容易遭駭客修改檔案加以開採,導致原本權限較低的惡意程式擴張其系統權限。

這類漏洞影響多家防毒軟體產品,包括卡巴斯基(Kaspersky)、賽門鐵克(Symantec)、微軟Microsoft Defender、Checkpoint、Fortinet、Avira等10家廠商,所幸各家廠商也都已修補了漏洞。

安全軟體有漏洞  危害更烈!

這些漏洞大部份能讓駭客從任何地方刪除系統中的任意檔案,有一個是檔案毁損漏洞,使壞蛋可以刪光系統內的任何檔案內容。

根據CyberArk的報告,這些漏洞出在Windows中C:\ProgramData資料夾的DACL(Discretionary Access Control Lists) ,這個資料夾是給應用程式儲存多位使用者的共用資料,這些使用者無需額外許可就能存取、刪改。

由於所有使用者都有寫入及刪改權限,因此當一般權限的行程(process) 在ProgramData下建立新資料匣可讓特別權限的行程存取時,就會有權限升級攻擊的疑慮。

一種情況是,兩個共用行程同一log檔時,攻擊者可用高權限行程刪除檔案,新增一個指向有惡意內容的任意檔案的符號連結(symbolic link)。CyberArk研究人員也實地測試了一下。結果發現,藉由新增資料夾,在McAfee installer執行了該符號連結後,一般使用者就取得更高的權限、得以控制整個目錄。

另一個情形是DLL劫持(DLL hijacking),攻擊者在目錄下放了個惡意DLL檔,引發權限升級,趨勢科技、Fortinet及其他防毒軟體都被發現受到影響。

CyberArk呼籲存取表(access control list) 一定要限制存取的行程,以避免任意刪除檔案的漏洞,同時也強調要更新安裝框架,避免DLL劫持攻擊。

研究人員指出,這份報告也說明軟體,包括防毒軟體中的漏洞都可能成為惡意程式的散播途徑。

研究人員說,由於安全產品的權限更高,因此這些bug可引發本機的完整權限升級,讓惡意程式得以進駐系統,對企業組織造成更大危害。

來源:The Hacker News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416