圖片來源: 

bogner.sh

澳洲資安業者Kapsch近日指出,坊間的十多款防毒軟體都含有AVGater漏洞,這是個權限擴張漏洞,將允許駭客釋放與執行遭到防毒軟體隔離的惡意程式,目前包括趨勢科技(Trend Micro)、卡巴斯基實驗室(Kaspersky Lab)與Emsisoft等6家業者皆已修補該漏洞,Kapsch並未列出其他尚未修補的業者名單。

簡單地說,AVGater漏洞利用了NTFS的目錄連結(directory junctions)功能,來操弄防毒軟體的隔離還原程序,以將原本被隔離的檔案移到任意的檔案系統中。

根據Kapsch所描述的攻擊場景,當防毒軟體將惡意程式移到隔離區之後,駭客可利用目錄連結功能將原始路徑改至位於C:\Program Files或C:\Windows中的文件夾;繼之執行還原功能,讓具備系統權限的防毒軟體將檔案送至駭客所指定的目的地。

由於許多Windows服務或核心程序會載入與執行儲存於特定Windows目錄中的所有DLL,因此當使用者重新啟動電腦之後,這些原本被隔離的惡意程式就會隨之被執行。

相關攻擊最大的限制是駭客必須實際存取目標對象的電腦,同時Kapsch也建議企業最好封鎖一般員工執行還原隔離的能力。


Advertisement

更多 iThome相關內容