卡巴斯基和趋势科技安全产品的DLL劫持漏洞 安全响应中心

admin 9月前 96

近期,SafeBreach的安全研究人员发现了卡巴斯基Secure Connection、趋势科技Maximum Security和Autodesk桌面应用的DLL劫持漏洞。攻击者可以利用这些漏洞进行DLL预加载、命令执行和非法提权。

       第一个漏洞出现在卡巴斯基Secure Connection(KSDE)的VPN客户端,被标记为CNNVD-201912-057、CVE-2019-15689,攻击者可以利用其植入并运行任意无签名的可执行文件。

       SafeBreach的研究人员在过去几个月里也曾发现了类似的DLL劫持漏洞,主要涉及McAfee、赛门铁克、Avast和Avira的安全解决方案。总结来说,就是这些安全解决方案试图加载一些默认不存在的库,从而让攻击者通过主动放置恶意的同名库来进行攻击。

       在上述情况下,程序进程几乎都没有针对加载的DLL进行任何签名验证。

       研究人员表示,KSDE是一个已被签名的服务,它会在系统启动时自动启动,以SYSTEM权限运行。该服务会试图加载多个不存在的DLL,而具有管理权限的攻击者可以用自己的恶意DLL进行替代,利用ksde.exe以SYSTEM权限加载恶意DLL。

       此外,进程仅使用文件名而不是绝对路径进行加载,最终攻击者可以在已签名的卡巴斯基进程中执行任意代码。

       根据安全报告的说法:“攻击者可能会在渗透成功后的持续控制阶段利用这个漏洞,以ksde.exe的身份执行任意代码,规避安全防御,保证持久性。”

       研究人员利用ckahum.dll编译一个x86无签名的DLL文件来测试这个漏洞,这个DLL会写下加载它的进程名称、执行它的用户名和DLL文件的名称。

       专家们还发现了一个类似的漏洞(涉及Autodesk),它会试图从PATH环境变量的不同目录加载不存在的DLL文件。

       “可以使用此漏洞将任意未签名的DLL加载到以NT AUTHORITY\SYSTEM权限运行的服务中,从而实现非法提权和持久控制。”

       最后还有一个影响趋势科技Maximum Security的DLL劫持漏洞。这个漏洞也可以被利用来规避防御,持久控制。并在某些情况下将任意无签名的DLL加载到多个高权限运行的服务中。

       该软件的某些部分是以非PPL(进程保护技术)的进程运行的,因此攻击者可加载未签名的代码,因为CIG(代码完整性保护)机制并不存在。

       它也会从PATH环境变量的不同目录加载不存在的DLL文件。普通权限用户即可通过植入恶意DLL文件进行攻击,以NT AUTHORITY\SYSTEM权限执行任意代码。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:黑客组织盗取八成个人信息 伪装微软认证程序
下一篇:Smith&Wesson网站黑客窃取客户支付信息
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回