快科技4月14日消息 近日,一位安全研究人员在X平台发布推文,披露了金山毒霸与360安全卫士两款主流杀毒软件的内核驱动存在高危漏洞,这些漏洞可能被攻击者利用,实现对目标设备的完全控制。
据介绍,攻击者利用这些漏洞,可从普通用户权限提权至SYSTEM最高权限,绕过KASLR(内核地址空间布局随机化)保护,窃取内核凭据,甚至修改内核回调表以隐藏恶意行为。
由于涉事驱动均具备EV或WHQL官方签名,攻击者无需在目标设备上安装额外软件,即可直接加载恶意载荷,攻击门槛极低。
其中,金山毒霸的kdhacker64_ev.sys驱动存在明显的缓冲区分配缺陷。
该驱动在处理用户输入时,分配的缓冲区大小仅为实际所需的一半,导致1160字节的数据被写入仅584字节的空间,直接引发512字节的内核池溢出。
值得注意的是,该驱动持有有效的EV签名,这意味着攻击者可借助此漏洞轻松绕过系统安全校验,实现对设备的完全控制。
360安全卫士的漏洞则体现在DsArk64.sys驱动上。
该驱动允许通过IOCTL接口传入4字节的进程ID,并在Ring 0层级直接调用ZwTerminateProcess函数,可强制终止任意进程,甚至能绕过PPL(受保护进程)机制,对系统核心进程造成威胁。
不仅如此,该驱动的内核读写功能采用AES-128-CBC加密算法,但其解密密钥被硬编码在二进制文件的.data段中,且所有版本均使用同一密钥,极大降低了攻击者的破解难度。
目前,这两个高危漏洞已被提交至LOLDrivers数据库。
微信扫一扫打赏
支付宝扫一扫打赏