卡巴斯基和趋势科技安全产品的DLL劫持漏洞

admin 2021年12月3日13:55:27cnnvd_news评论10 次浏览阅读模式

       近期,SafeBreach的安全研究人员发现了卡巴斯基Secure Connection、趋势科技Maximum Security和Autodesk桌面应用的DLL劫持漏洞。攻击者可以利用这些漏洞进行DLL预加载、命令执行和非法提权。

       第一个漏洞出现在卡巴斯基Secure Connection(KSDE)的VPN客户端,被标记为CNNVD-201912-057、CVE-2019-15689,攻击者可以利用其植入并运行任意无签名的可执行文件。

       SafeBreach的研究人员在过去几个月里也曾发现了类似的DLL劫持漏洞,主要涉及McAfee、赛门铁克、Avast和Avira的安全解决方案。总结来说,就是这些安全解决方案试图加载一些默认不存在的库,从而让攻击者通过主动放置恶意的同名库来进行攻击。

       在上述情况下,程序进程几乎都没有针对加载的DLL进行任何签名验证。

       研究人员表示,KSDE是一个已被签名的服务,它会在系统启动时自动启动,以SYSTEM权限运行。该服务会试图加载多个不存在的DLL,而具有管理权限的攻击者可以用自己的恶意DLL进行替代,利用ksde.exe以SYSTEM权限加载恶意DLL。

       此外,进程仅使用文件名而不是绝对路径进行加载,最终攻击者可以在已签名的卡巴斯基进程中执行任意代码。

       根据安全报告的说法:“攻击者可能会在渗透成功后的持续控制阶段利用这个漏洞,以ksde.exe的身份执行任意代码,规避安全防御,保证持久性。”

       研究人员利用ckahum.dll编译一个x86无签名的DLL文件来测试这个漏洞,这个DLL会写下加载它的进程名称、执行它的用户名和DLL文件的名称。

       专家们还发现了一个类似的漏洞(涉及Autodesk),它会试图从PATH环境变量的不同目录加载不存在的DLL文件。

       “可以使用此漏洞将任意未签名的DLL加载到以NT AUTHORITY\SYSTEM权限运行的服务中,从而实现非法提权和持久控制。”

       最后还有一个影响趋势科技Maximum Security的DLL劫持漏洞。这个漏洞也可以被利用来规避防御,持久控制。并在某些情况下将任意无签名的DLL加载到多个高权限运行的服务中。

       该软件的某些部分是以非PPL(进程保护技术)的进程运行的,因此攻击者可加载未签名的代码,因为CIG(代码完整性保护)机制并不存在。

       它也会从PATH环境变量的不同目录加载不存在的DLL文件。普通权限用户即可通过植入恶意DLL文件进行攻击,以NT AUTHORITY\SYSTEM权限执行任意代码。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:55:27
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/810.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: