日前一位安全研究人員在X平臺發佈推文,披露了金山毒霸與360安全衛士兩款主流殺毒軟件的內核驅動存在高危漏洞,這些漏洞可能被攻擊者利用,實現對目標設備的完全控制。
據介紹,攻擊者利用這些漏洞,可從普通用戶權限提權至SYSTEM最高權限,繞過KASLR(內核地址空間佈局隨機化)保護,竊取內核憑據,甚至修改內核回調錶以隱藏惡意行為。
由於涉事驅動均具備EV或WHQL官方簽名,攻擊者無需在目標設備上安裝額外軟件,即可直接加載惡意載荷,攻擊門檻極低。
其中,金山毒霸的kdhacker64_ev.sys驅動存在明顯的緩衝區分配缺陷。
該驅動在處理用戶輸入時,分配的緩衝區大小僅為實際所需的一半,導致1160字節的數據被寫入僅584字節的空間,直接引發512字節的內核池溢出。
值得注意的是,該驅動持有有效的EV簽名,這意味著攻擊者可藉助此漏洞輕鬆繞過系統安全校驗,實現對設備的完全控制。
360安全衛士的漏洞則體現在DsArk64.sys驅動上。
該驅動允許通過IOCTL接口傳入4字節的進程ID,並在Ring 0層級直接調用ZwTerminateProcess函數,可強制終止任意進程,甚至能繞過PPL(受保護進程)機制,對系統核心進程造成威脅。
不僅如此,該驅動的內核讀寫功能採用AES-128-CBC加密算法,但其解密密鑰被硬編碼在二進制文件的.data段中,且所有版本均使用同一密鑰,極大降低了攻擊者的破解難度。
目前,這兩個高危漏洞已被提交至LOLDrivers數據庫。