https://www.ithome.com.tw/news/140425
安全研究人員發現McAfee、卡巴斯基、趨勢科技、微軟等10家廠商的安全軟體有漏洞,可被
駭客利用對使用者發動攻擊,廠商獲報後已完成修補
按讚加入iThome粉絲團
文/林妍溱 | 2020-10-08發表
示意圖
.
防毒等安全軟體的目的在保護用戶不受惡意程式所害,但是近日安全研究人員卻在McAfee、
卡巴斯基、趨勢科技、微軟等10家廠商產品中發現有漏洞可被駭客利用,反而對用戶發動攻
擊。
CyberArk研究人員Eran Shimony指出,防毒軟體往往比其他程式具有更高的權限,使其容易
成為駭客的目標,利用其漏洞進行操弄,進而藉其高權限對用戶系統發動攻擊。研究人員在
主流的安全軟體,包括Kaspersky、McAfee、賽門鐵克、Fortinet、Check Point、趨勢科技
、Avira、Avast、F-Secure和Microsoft Defender上都發現到若干漏洞,可讓駭客刪除系統
檔案,或是造成檔案毁損來刪除系統上任何檔案內容。
例如,其中一些漏洞和ProgramData目錄下的判別式存取控制表(Discretionary Access Co
ntrol List,DACL)有關。在Windows上,ProrgramData目錄是應用程式儲存非只屬於單一
用戶的資料,這表示可為一個以上的行程或服務共用,包括高權限行程及低權限行程,而且
任何權限的使用者都可以自由存取和修改ProgramData下的檔案。
因此這就給了攻擊者可趁之機,發動權限升級攻擊;新建一個ProgramData目錄,利用低權
限行程修改ProgramData下的檔案,使惡意共用檔案可為高權限行程所用。研究人員特別說
明了兩種攻擊,一是建立符號連結(symbolic link)檔,指向帶有惡意內容的任意檔案。
其次是DLL劫持,攻擊者在該目錄內植入惡意DLL檔,讓共用該DLL檔的合法應用程式執行惡
意行為。
在經過測試下,研究人員發現McAfee、Avira防毒軟體可被操弄,使本機用戶發動符號連結
攻擊取得升級權限,而趨勢科技等軟體則遭DLL劫持攻擊。
研究人員也列出各家廠商的漏洞編號
卡巴斯基:CVE-2020-25045、CVE-2020-25044、CVE-2020-25043
McAfee:CVE-2020-7250、CVE-2020-7310
賽門鐵克:CVE-2019-19548
Fortinet:CVE-2020-9290
Checkpoint:CVE-2019-8452
趨勢科技:CVE-2019-19688、CVE-2019-19689 +3
Avira:CVE-2020-13903
微軟Defender-CVE-2019-1161
Avast 及F-Secure尚未有漏洞編號。
Cyber Ark已分別通知這些廠商,所有廠商也都完成漏洞的修補,該公司並特別指出以卡巴
斯基回應最為迅速。
這些漏洞也可能會發生在自行開發的應用程式上,因此研究人員也針對開發人員提出建議,
包括限制存取ProgramData DACL的行程,小心有建立冒充ProgramData檔案的行為、更新安
裝框架到最新版,或用較安全的Windows MSI等。