AVGater漏洞曝光:殺軟“隔離文件恢復”功能或被惡意軟件利用
責編:mhshi |2017-11-13 14:17:08反病毒軟件本該恪盡職守地將網絡上的惡意軟件與計算機隔離開來,但是別有用心的黑客卻想到了利用殺軟的“隔離恢復”功能來干壞事。據悉,最新案例已在多家反病毒方案商的產品上實現,比如澳大利亞 Kapsch 安全審計人員 Florian Bogner 就發現了一個名叫“AVGater”的漏洞。他表示,其原理是將惡意軟件從一個反病毒隔離文件夾中移出,然后轉至受害系統上的某個敏感區域。
Bogner 表示,他已經向所有存在該漏洞的反病毒軟件廠商發去了通知,它們中有不少已經在新版本中修復該問題,包括 Emisoft、Ikarus、卡巴斯基、Malwarebytes、趨勢科技、以及 ZoneAlarm 。
在滲透測試中,Bogner 先是借助傳統的電子郵件釣魚技術成功感染了客戶端 PC,此時惡意軟件會被反病毒程序隔離。接著他利用軟件漏洞,允許非特權用戶將惡意文件從隔離中恢復。
此舉利用了一項名叫“NTFS 文件交叉點”的 Windows 特性,使得他能夠將文件轉發至選中的一個特權目錄,比如 C:\Program Files 或 C:\Windows 。
再利用動態鏈接庫(DLL)的搜索排序功能,該惡意軟件就能夠以完整權限運行。
當然,AVGater 最明顯的限制,就是需要攻擊者擁有設備的物理訪問權限。但是對于共享的計算機環境來說,這仍然是一個大問題。
Bogner 表示,想要保護計算機不被 AVGater 感染,最好的措施還是保持反病毒程序為最新版本。至于企業用戶,其建議徹底禁用從隔離中恢復文件的功能。