江蘇
關(guān)鍵詞
漏洞
安全研究人員 Patrick Saif(@weezerOSINT)昨日(4 月 13 日)在 X 平臺發(fā)布推文,披露金山毒霸與 360 安全衛(wèi)士兩款主流殺毒軟件的內(nèi)核驅(qū)動存在高危漏洞。
金山毒霸的 kdhacker64_ev.sys 驅(qū)動在處理用戶輸入后,分配的緩沖區(qū)大小僅為所需的一半,導(dǎo)致 1160 字節(jié)數(shù)據(jù)寫入 584 字節(jié)空間,直接引發(fā) 512 字節(jié)的內(nèi)核池溢出。該驅(qū)動擁有有效的 EV 簽名,攻擊者可利用此漏洞完全控制系統(tǒng)。
360 安全衛(wèi)士的 DsArk64.sys 驅(qū)動允許通過 IOCTL 接口傳入 4 字節(jié)進程 ID,并在 Ring 0 層級調(diào)用 ZwTerminateProcess 強制終止任意進程,甚至能繞過 PPL(受保護進程)機制。
更嚴(yán)重的是,其內(nèi)核讀寫功能使用 AES-128-CBC 算法,讓解密密鑰硬編碼在二進制文件的.data 段中,且所有版本使用同一密鑰,且該驅(qū)動通過了 WHQL 簽名認(rèn)證。
目前兩個漏洞已提交至 LOLDrivers 數(shù)據(jù)庫,均未獲 CVE 編號且不在 HVCI 屏蔽名單中。攻擊者利用這些漏洞可從普通用戶提權(quán)至 SYSTEM,繞過 KASLR 并竊取內(nèi)核憑據(jù),甚至修改內(nèi)核回調(diào)表隱藏惡意行為。鑒于涉事驅(qū)動具備 EV 或 WHQL 簽名,攻擊者無需在目標(biāo)機器安裝軟件即可加載惡意載荷。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
