吳明宜防毒軟體反成駭客跳板?!安全軟體有漏洞反而危害更烈
網路安全研究人員今天公佈多家知名防毒軟體的安全漏洞,可讓駭客擴張權限,而讓惡意程式得以躲在受害系統中不被發現,反而對用戶帶來安全威脅。
根據CyberArk研究人員Eran Shimony公佈的報告,防毒軟體往往擁有更高權限,這使得他們更容易遭駭客修改檔案加以開採,導致原本權限較低的惡意程式擴張其系統權限。
這類漏洞影響多家防毒軟體產品,包括卡巴斯基(Kaspersky)、賽門鐵克(Symantec)、微軟Microsoft Defender、Checkpoint、Fortinet、Avira等10家廠商,所幸各家廠商也都已修補了漏洞。
安全軟體有漏洞 危害更烈!
這些漏洞大部份能讓駭客從任何地方刪除系統中的任意檔案,有一個是檔案毁損漏洞,使壞蛋可以刪光系統內的任何檔案內容。
根據CyberArk的報告,這些漏洞出在Windows中C:\ProgramData資料夾的DACL(Discretionary Access Control Lists) ,這個資料夾是給應用程式儲存多位使用者的共用資料,這些使用者無需額外許可就能存取、刪改。
由於所有使用者都有寫入及刪改權限,因此當一般權限的行程(process) 在ProgramData下建立新資料匣可讓特別權限的行程存取時,就會有權限升級攻擊的疑慮。
一種情況是,兩個共用行程同一log檔時,攻擊者可用高權限行程刪除檔案,新增一個指向有惡意內容的任意檔案的符號連結(symbolic link)。CyberArk研究人員也實地測試了一下。結果發現,藉由新增資料夾,在McAfee installer執行了該符號連結後,一般使用者就取得更高的權限、得以控制整個目錄。
另一個情形是DLL劫持(DLL hijacking),攻擊者在目錄下放了個惡意DLL檔,引發權限升級,趨勢科技、Fortinet及其他防毒軟體都被發現受到影響。
CyberArk呼籲存取表(access control list) 一定要限制存取的行程,以避免任意刪除檔案的漏洞,同時也強調要更新安裝框架,避免DLL劫持攻擊。
研究人員指出,這份報告也說明軟體,包括防毒軟體中的漏洞都可能成為惡意程式的散播途徑。
研究人員說,由於安全產品的權限更高,因此這些bug可引發本機的完整權限升級,讓惡意程式得以進駐系統,對企業組織造成更大危害。