吳明宜網路安全研究人員今天公佈多家知名防毒軟體的安全漏洞,可讓駭客擴張權限,而讓惡意程式得以躲在受害系統中不被發現,反而對用戶帶來安全威脅。
根據 CyberArk 研究人員 Eran Shimony 公佈的報告,防毒軟體往往擁有更高權限,這使得他們更容易遭駭客修改檔案加以開採,導致原本權限較低的惡意程式擴張其系統權限。
這類漏洞影響多家防毒軟體產品,包括卡巴斯基 (Kaspersky) 、賽門鐵克 (Symantec) 、微軟 Microsoft Defender 、 Checkpoint 、 Fortinet 、 Avira 等 10 家廠商,所幸各家廠商也都已修補了漏洞。
安全軟體有漏洞 危害更烈!
這些漏洞大部份能讓駭客從任何地方刪除系統中的任意檔案,有一個是檔案毁損漏洞,使壞蛋可以刪光系統內的任何檔案內容。
根據 CyberArk 的報告,這些漏洞出在 Windows 中 C:\ProgramData 資料夾的 DACL(Discretionary Access Control Lists) ,這個資料夾是給應用程式儲存多位使用者的共用資料,這些使用者無需額外許可就能存取、刪改。
由於所有使用者都有寫入及刪改權限,因此當一般權限的行程 (process) 在 ProgramData 下建立新資料匣可讓特別權限的行程存取時,就會有權限升級攻擊的疑慮。
一種情況是,兩個共用行程同一 log 檔時,攻擊者可用高權限行程刪除檔案,新增一個指向有惡意內容的任意檔案的符號連結 (symbolic link) 。 CyberArk 研究人員也實地測試了一下。結果發現,藉由新增資料夾,在 McAfee installer 執行了該符號連結後,一般使用者就取得更高的權限、得以控制整個目錄。
另一個情形是 DLL 劫持 (DLL hijacking),攻擊者在目錄下放了個惡意 DLL 檔,引發權限升級,趨勢科技、 Fortinet 及其他防毒軟體都被發現受到影響。
CyberArk 呼籲存取表 (access control list) 一定要限制存取的行程,以避免任意刪除檔案的漏洞,同時也強調要更新安裝框架,避免 DLL 劫持攻擊。
研究人員指出,這份報告也說明軟體,包括防毒軟體中的漏洞都可能成為惡意程式的散播途徑。
研究人員說,由於安全產品的權限更高,因此這些 bug 可引發本機的完整權限升級,讓惡意程式得以進駐系統,對企業組織造成更大危害。