卡巴斯基、賽門鐵克等知名廠商的主流安全產品存在漏洞

每個供應商的產品都有問題，攻擊者只要已經在系統上就可以提升權限。

CyberArk最近一項研究發現，公司企業用來防御惡意軟件攻擊的大多數安全工具本身易遭漏洞利用，可使攻擊者能夠在受感染的系統上提升權限。

CyberArk測試了多個主流安全廠商的產品，其中包括卡巴斯基、賽門鐵克、趨勢科技、邁克菲和CheckPoint，并表示每個產品中都發現了漏洞。

供應商已修復了CyberArk報告的漏洞，其中包括卡巴斯基惡意軟件檢測與清除產品中的三個；邁克菲產品組合中的兩個；賽門鐵克、飛塔和和CheckPoint的產品各一個；還有趨勢科技產品中的五個。CyberArk還發現了微軟、Avast和Avira等產品中的漏洞。

對于所有這些漏洞，攻擊者想要利用得事先就手握系統的本地訪問權。安全研究人員通常認為，此類漏洞的嚴重性及不上允許未經身份驗證的遠程執行。

CyberArk研究員Eran Shimony發現了這些缺陷，他說公司研究中發現的漏洞具有相同的根源：以高權限運行應用時未正確使用系統資源。根據Shimony的說法，CyberArk測試的所有安全產品都容易遭受DLL劫持攻擊，也就是攻擊者在特權進程中加載惡意文件的技術。

他解釋稱：“這么做能夠在DLLMain函數中運行代碼，而此函數會在DLL加載后立即執行，從而能夠在特權應用中執行代碼。”

Shimony表示，第二個漏洞涉及的方法可以欺騙特權應用，在執行讀取、寫入或刪除操作時指向另一個目標文件。

“這就讓我們能夠修改受保護文件的內容了，比如操作系統使用的那些文件。”

CyberArk測試的每一個安全產品中都有兩個明顯錯誤。首先是供應商未能阻止安全應用程序（幾乎始終以系統特權運行）從不安全的位置加載DLL，而不驗證這些DLL是否經過數字簽名。

只要供應商改變應用程序嘗試加載DLL的方式，無論是用絕對路徑，還是強制驗證數字簽名，這個問題都不會繼續存在。

Shimony發現的第二個問題是低權限和高權限應用之間的資源共享。

他說：“如果低權限應用程序訪問資源，例如服務訪問日志文件執行寫操作，則該服務必須在低權限應用程序的上下文中執行寫操作。”否則，惡意用戶就可利用此漏洞提升在系統上的權限。

供應商響應

媒體聯系過的受影響供應商中，有兩家表示已修復CyberArk在其產品中發現的漏洞。

10月6日，卡巴斯基發言人稱CyberArk發現的漏洞可以利用來執行本地攻擊，但只有攻擊者已經具有經驗證的系統訪問權才能利用。這家安全公司還表示，其中一些漏洞僅在產品安全階段可被利用。

在其產品中發現的三個漏洞里，一個（CVE-2020-25045）能用來提升權限，另一個（CVE-2020-25044）使攻擊者能夠刪除被黑系統上任意文件的內容，第三個（CVE-2020- 25043）可使攻擊者能夠刪除帶漏洞系統上的全部文件。受影響的卡巴斯基產品包括5.0版之前的VPN安全連接產品，15.0.23.0版之前的卡巴斯基病毒清除工具，以及12版之前的卡巴斯基安全中心。

卡巴斯基發言人在一份聲明中說：“我們建議用戶檢查當前正在運行的應用程序版本，并安裝最新更新。”

趨勢科技全球威脅通信總監Jon Clay表示，他的公司早在2019年12月就修復了這些漏洞。

Clay稱，“這些漏洞的嚴重等級為中等”，并指出需要擁有計算機訪問權才能部署惡意DLL載荷和提權。“由于需要直接訪問受害機器，因此并不容易利用這些漏洞。”

他補充稱，Shimony發現的漏洞很容易修復，在某些情況下，只需要“對代碼進行少量修改即可”。

Shimony說：“公司企業可以采取的最佳措施是（確保）安裝最新更新，并對每個特權程序進行全面修復。”“攻擊者可以使用這些技術來提升權限，因此確保所有特權帳戶得到適當保護非常關鍵。”