迈克菲、微软等主流安全产品均自身含有漏洞 – 作者:安恒风暴中心

image.png

文 | 数世咨询

每个供应商的产品都有问题,攻击者只要已经在系统上就可以提升权限。

CyberArk最近一项研究发现,公司企业用来防御恶意软件攻击的大多数安全工具本身易遭漏洞利用,可使攻击者能够在受感染的系统上提升权限。

CyberArk测试了多个主流安全厂商的产品,其中包括卡巴斯基、赛门铁克、趋势科技、迈克菲和CheckPoint,并表示每个产品中都发现了漏洞。

供应商已修复了CyberArk报告的漏洞,其中包括卡巴斯基恶意软件检测与清除产品中的三个;迈克菲产品组合中的两个;赛门铁克、飞塔和和CheckPoint的产品各一个;还有趋势科技产品中的五个。CyberArk还发现了微软、Avast和Avira等产品中的漏洞。

对于所有这些漏洞,攻击者想要利用得事先就手握系统的本地访问权。安全研究人员通常认为,此类漏洞的严重性及不上允许未经身份验证的远程执行。

CyberArk研究员Eran Shimony发现了这些缺陷,他说公司研究中发现的漏洞具有相同的根源:以高权限运行应用时未正确使用系统资源。根据Shimony的说法,CyberArk测试的所有安全产品都容易遭受DLL劫持攻击,也就是攻击者在特权进程中加载恶意文件的技术。

他解释称:“这么做能够在DLLMain函数中运行代码,而此函数会在DLL加载后立即执行,从而能够在特权应用中执行代码。”

Shimony表示,第二个漏洞涉及的方法可以欺骗特权应用,在执行读取、写入或删除操作时指向另一个目标文件。

“这就让我们能够修改受保护文件的内容了,比如操作系统使用的那些文件。”

CyberArk测试的每一个安全产品中都有两个明显错误。首先是供应商未能阻止安全应用程序(几乎始终以系统特权运行)从不安全的位置加载DLL,而不验证这些DLL是否经过数字签名。

只要供应商改变应用程序尝试加载DLL的方式,无论是用绝对路径,还是强制验证数字签名,这个问题都不会继续存在。

Shimony发现的第二个问题是低权限和高权限应用之间的资源共享。

他说:“如果低权限应用程序访问资源,例如服务访问日志文件执行写操作,则该服务必须在低权限应用程序的上下文中执行写操作。”否则,恶意用户就可利用此漏洞提升在系统上的权限。

供应商响应

媒体联系过的受影响供应商中,有两家表示已修复CyberArk在其产品中发现的漏洞。

10月6日,卡巴斯基发言人称CyberArk发现的漏洞可以利用来执行本地攻击,但只有攻击者已经具有经验证的系统访问权才能利用。这家安全公司还表示,其中一些漏洞仅在产品安全阶段可被利用。

在其产品中发现的三个漏洞里,一个(CVE-2020-25045)能用来提升权限,另一个(CVE-2020-25044)使攻击者能够删除被黑系统上任意文件的内容,第三个(CVE-2020- 25043)可使攻击者能够删除带漏洞系统上的全部文件。受影响的卡巴斯基产品包括5.0版之前的VPN安全连接产品,15.0.23.0版之前的卡巴斯基病毒清除工具,以及12版之前的卡巴斯基安全中心。

卡巴斯基发言人在一份声明中说:“我们建议用户检查当前正在运行的应用程序版本,并安装最新更新。”

趋势科技全球威胁通信总监Jon Clay表示,他的公司早在2019年12月就修复了这些漏洞。

Clay称,“这些漏洞的严重等级为中等”,并指出需要拥有计算机访问权才能部署恶意DLL载荷和提权。“由于需要直接访问受害机器,因此并不容易利用这些漏洞。”

他补充称,Shimony发现的漏洞很容易修复,在某些情况下,只需要“对代码进行少量修改即可”。

Shimony说:“公司企业可以采取的最佳措施是(确保)安装最新更新,并对每个特权程序进行全面修复。”“攻击者可以使用这些技术来提升权限,因此确保所有特权帐户得到适当保护非常关键。”

来源:freebuf.com 2020-10-13 10:51:59 by: 安恒风暴中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论