研究人員發(fā)現(xiàn)防毒軟件有安全漏洞，可被攻擊者提升特權(quán)

有網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，之前一些防毒軟件中都有安全漏洞，可以讓攻擊者提升他們的特權(quán)從而使惡意軟件可以在系統(tǒng)內(nèi)隱藏更久，就連Windows自帶的Defender也是一樣。

根據(jù)網(wǎng)絡(luò)安全研究機(jī)構(gòu)CyberArk的一份報(bào)告顯示，這些防毒軟件普遍都是需要高特權(quán)來運(yùn)作的，因此在對(duì)面文件修改攻擊時(shí)它們會(huì)更易遭殃，從而導(dǎo)致惡意軟件獲得更高特權(quán)。這次受到影響的防毒軟件有知名的卡巴斯基、邁克菲、賽門鐵克、小紅傘等，還包括Windows默認(rèn)的Defender。不過這些軟件都已經(jīng)得到了相對(duì)應(yīng)的修復(fù)，所以問題不大。

在這些安全漏洞中，最重大的有兩個(gè)：可以從任意位置刪除檔案，使攻擊者可以刪除系列內(nèi)的任何檔案;以及可以允許攻擊者抹去檔案中所有內(nèi)容。

根據(jù)CyberArk的說法，這些漏洞是由Windows的“ C：\ ProgramData”文件夾的默認(rèn)DACL（自由訪問控制列表）導(dǎo)致的，它們可以讓應(yīng)用程序存儲(chǔ)數(shù)據(jù)而無需其他特權(quán)。由于每個(gè)用戶對(duì)于根目錄都有寫入及刪減特權(quán)，因此當(dāng)一個(gè)非特權(quán)的程序在“ProgramData”創(chuàng)建一個(gè)新檔案時(shí)，它在之后被提升特權(quán)的可能性就會(huì)增加。另外，研究人員也發(fā)現(xiàn)可以在執(zhí)行特權(quán)進(jìn)程之前在“ C：\ ProgramData”中創(chuàng)建新文件夾，同樣也，可以被用作提升權(quán)限攻擊。

雖然說這些漏洞都已經(jīng)被修復(fù)，但是這也提醒著我們，即便是那些防毒軟件也同樣可以被用作允許惡意軟件入侵的一個(gè)入口，因此我們也需要多加注意。
責(zé)編AJX