安基網 首頁 資訊 安全報 查看內容

卡巴斯基和趨勢科技安全產品的DLL劫持漏洞

2019-12-5 11:28| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近期,SafeBreach的安全研究人員發現了卡巴斯基Secure Connection、趨勢科技Maximum Security和Autodesk桌面應用的DLL劫持漏洞。攻擊者可以利用這些漏洞進行DLL預加載、命令執行和非法提權。第一個漏洞出現在卡巴斯基Secure Connection(KSDE)的VPN客戶端,被標記為CVE-2019-15689,攻擊者可以利用其 ...

近期,SafeBreach的安全研究人員發現了卡巴斯基Secure Connection、趨勢科技Maximum Security和Autodesk桌面應用的DLL劫持漏洞。攻擊者可以利用這些漏洞進行DLL預加載、命令執行和非法提權。

第一個漏洞出現在卡巴斯基Secure Connection(KSDE)的VPN客戶端,被標記為CVE-2019-15689,攻擊者可以利用其植入并運行任意無簽名的可執行文件。

SafeBreach的研究人員在過去幾個月里也曾發現了類似的DLL劫持漏洞,主要涉及McAfee、賽門鐵克、Avast和Avira的安全解決方案?偨Y來說,就是這些安全解決方案試圖加載一些默認不存在的庫,從而讓攻擊者通過主動放置惡意的同名庫來進行攻擊。

在上述情況下,程序進程幾乎都沒有針對加載的DLL進行任何簽名驗證。

研究人員表示,KSDE是一個已被簽名的服務,它會在系統啟動時自動啟動,以SYSTEM權限運行。該服務會試圖加載多個不存在的DLL,而具有管理權限的攻擊者可以用自己的惡意DLL進行替代,利用ksde.exe以SYSTEM權限加載惡意DLL。

此外,進程僅使用文件名而不是絕對路徑進行加載,最終攻擊者可以在已簽名的卡巴斯基進程中執行任意代碼。

根據安全報告的說法:“攻擊者可能會在滲透成功后的持續控制階段利用這個漏洞,以ksde.exe的身份執行任意代碼,規避安全防御,保證持久性!

研究人員利用ckahum.dll編譯一個x86無簽名的DLL文件來測試這個漏洞,這個DLL會寫下加載它的進程名稱、執行它的用戶名和DLL文件的名稱。然后將其放入C:WindowsSysWow64Wbem,重啟電腦:


專家們還發現了一個類似的漏洞(涉及Autodesk),被標記為CVE-2019-7365,它會試圖從PATH環境變量的不同目錄加載不存在的DLL文件。

“可以使用此漏洞將任意未簽名的DLL加載到以NT AUTHORITYSYSTEM權限運行的服務中,從而實現非法提權和持久控制!

最后還有一個影響趨勢科技Maximum Security的DLL劫持漏洞,被標記為CVE-2019-15628。這個漏洞也可以被利用來規避防御,持久控制。并在某些情況下將任意無簽名的DLL加載到多個高權限運行的服務中。

該軟件的某些部分是以非PPL(進程保護技術)的進程運行的,因此攻擊者可加載未簽名的代碼,因為CIG(代碼完整性保護)機制并不存在。

它也會從PATH環境變量的不同目錄加載不存在的DLL文件。普通權限用戶即可通過植入惡意DLL文件進行攻擊,以NT AUTHORITYSYSTEM權限執行任意代碼。

“我們在虛擬機上安裝了Python 2.7。而c:python27存在一個ACL,允許任何身份經過驗證的用戶將文件寫入。這使得非法權限非常簡單,普通用戶插入惡意DLL文件即可以NT AUTHORITYSYSTEM權限執行任意代碼!


SafeBreach已在7月份向相關公司報告了這些漏洞,并針對這些漏洞發布了安全預警。


本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場

來源:Google對外公開有國家背景的釣魚攻擊數據|NOSEC安全訊息平臺 - 白帽匯安全研究院

原文:https://securityaffairs.co/wordpress/94658/hacking/dll-hijacking-kaspersky-trend-micro.html

白帽匯從事信息安全,專注于安全大數據、企業威脅情報。

公司產品:FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。

為您提供:網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6766525486655865347/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 四方河南麻将下载 江西多乐彩遗漏 600086股票行 欢乐真人麻将360版 中超什么时候开踢 牌友棋牌长沙麻将手机版下载 2020年中超联赛开赛时间 麻将高手打牌思路 杠杆炒股平台 盛京棋牌官网下载