卡巴斯基和趋势科技安全产品的DLL劫持漏洞

       近期，SafeBreach的安全研究人员发现了卡巴斯基Secure Connection、趋势科技Maximum Security和Autodesk桌面应用的DLL劫持漏洞。攻击者可以利用这些漏洞进行DLL预加载、命令执行和非法提权。

       第一个漏洞出现在卡巴斯基Secure Connection（KSDE）的VPN客户端，被标记为CNNVD-201912-057、CVE-2019-15689，攻击者可以利用其植入并运行任意无签名的可执行文件。

       SafeBreach的研究人员在过去几个月里也曾发现了类似的DLL劫持漏洞，主要涉及McAfee、赛门铁克、Avast和Avira的安全解决方案。总结来说，就是这些安全解决方案试图加载一些默认不存在的库，从而让攻击者通过主动放置恶意的同名库来进行攻击。

       在上述情况下，程序进程几乎都没有针对加载的DLL进行任何签名验证。

       研究人员表示，KSDE是一个已被签名的服务，它会在系统启动时自动启动，以SYSTEM权限运行。该服务会试图加载多个不存在的DLL，而具有管理权限的攻击者可以用自己的恶意DLL进行替代，利用ksde.exe以SYSTEM权限加载恶意DLL。

       此外，进程仅使用文件名而不是绝对路径进行加载，最终攻击者可以在已签名的卡巴斯基进程中执行任意代码。

       根据安全报告的说法：“攻击者可能会在渗透成功后的持续控制阶段利用这个漏洞，以ksde.exe的身份执行任意代码，规避安全防御，保证持久性。”

       研究人员利用ckahum.dll编译一个x86无签名的DLL文件来测试这个漏洞，这个DLL会写下加载它的进程名称、执行它的用户名和DLL文件的名称。

       专家们还发现了一个类似的漏洞（涉及Autodesk），它会试图从PATH环境变量的不同目录加载不存在的DLL文件。

       “可以使用此漏洞将任意未签名的DLL加载到以NT AUTHORITY\SYSTEM权限运行的服务中，从而实现非法提权和持久控制。”

       最后还有一个影响趋势科技Maximum Security的DLL劫持漏洞。这个漏洞也可以被利用来规避防御，持久控制。并在某些情况下将任意无签名的DLL加载到多个高权限运行的服务中。

       该软件的某些部分是以非PPL（进程保护技术）的进程运行的，因此攻击者可加载未签名的代码，因为CIG（代码完整性保护）机制并不存在。

       它也会从PATH环境变量的不同目录加载不存在的DLL文件。普通权限用户即可通过植入恶意DLL文件进行攻击，以NT AUTHORITY\SYSTEM权限执行任意代码。