环球门户网

卡巴斯基安全漏洞为黑客提供特征码执行

更新时间:2021-09-29 08:11:48

导读 卡巴斯基安全连接中发现的一个安全问题已经捆绑在卡巴斯基的一系列其他安全产品中,这允许恶意参与者在更复杂的攻击情况下获得签名代码执行

卡巴斯基安全连接中发现的一个安全问题已经捆绑在卡巴斯基的一系列其他安全产品中,这允许恶意参与者在更复杂的攻击情况下获得签名代码执行、持久性甚至防御规避。

该漏洞在CVE-2019-15689中有详细描述,它使黑客能够以NT AUTHORITY/SYSTEM发起的签名版本运行未签名的可执行文件,从而在技术上为受感染设备上的进一步恶意活动打开了大门。

SafeBreach解释称,卡巴斯基安全连接,其捆绑了卡巴斯基反病毒软件、卡巴斯基互联网安全软件、卡巴斯基综合安全软件等。具有SYSTEM权限,可执行文件由“AO Kaspersly Lab”签名。

“如果攻击者在这个过程中找到了执行代码的方法,就可以将其作为应用白名单来绕过程序,这可能会导致安全产品的逃逸,”SafeBreach解释道。

此外,由于该服务在启动时运行,这意味着潜在的攻击者甚至可以获得持久性,以便在每次系统启动时运行恶意有效负载。

需要管理员帐户。

深入分析显示,卡巴斯基的服务试图加载一系列dll,但其中一些已经丢失。因为安全软件不使用签名验证,所以很容易将未签名的可执行文件伪装成已签名的可执行文件。此外,卡巴斯基服务不使用安全DLL加载,这意味着它只使用DLL的文件名,而不是绝对路径。

“该漏洞允许攻击者在AO卡巴斯基实验室签名过程的上下文中加载和执行恶意有效负载。攻击者可能会出于不同的目的滥用此功能(例如执行和防御规避),例如“应用程序白名单旁路”该漏洞允许攻击者在每次加载服务时以持久方式加载和执行恶意有效负载。"

SafeBreach还在其他安全产品中发现了一系列漏洞。他解释说,攻击者需要目标设备的管理员权限。

该错误于2019年7月被报告给卡巴斯基,安全公司于11月21日发布了CVE-2019-15689。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。