AVGater漏洞曝光:杀软“隔离文件恢复”功能或被恶意软件利用

AVGater漏洞曝光:杀软“隔离文件恢复”功能或被恶意软件利用

黑客软件访客2021-10-11 19:10:008542A+A-

反病毒软件本该恪尽职守地将网络上的恶意软件与计算机隔离开来,但是别有用心的黑客却想到了利用杀软的“隔离恢复”功能来干坏事。据悉,最新案例已在多家反病毒方案商的产品上实现,比如澳大利亚 Kapsch 安全审计人员 Florian Bogner 就发现了一个名叫“AVGater”的漏洞。他表示,其原理是将恶意软件从一个反病毒隔离文件夹中移出,然后转至受害系统上的某个敏感区域。

Bogner 表示,他已经向所有存在该漏洞的反病毒软件厂商发去了通知,它们中有不少已经在新版本中修复该问题,包括 Emisoft、Ikarus、卡巴斯基、Malwarebytes、趋势科技、以及 ZoneAlarm 。

在渗透测试中,Bogner 先是借助传统的电子邮件钓鱼技术成功感染了客户端 PC,此时恶意软件会被反病毒程序隔离。接着他利用软件漏洞,允许非特权用户将恶意文件从隔离中恢复。

此举利用了一项名叫“NTFS 文件交叉点”的 Windows 特性,使得他能够将文件转发至选中的一个特权目录,比如 C:\Program Files 或 C:\Windows 。

再利用动态链接库(DLL)的搜索排序功能,该恶意软件就能够以完整权限运行。

当然,AVGater 最明显的限制,就是需要攻击者拥有设备的物理访问权限。但是对于共享的计算机环境来说,这仍然是一个大问题。

Bogner 表示,想要保护计算机不被 AVGater 感染,最好的措施还是保持反病毒程序为最新版本。至于企业用户,其建议彻底禁用从隔离中恢复文件的功能。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 酒奴未几2022-06-11 11:33:18
  • 反病毒软件本该恪尽职守地将网络上的恶意软件与计算机隔离开来,但是别有用心的黑客却想到了利用杀软的“隔离恢复”功能来干坏事。据悉,最新案例已在多家反病毒方案商的产品上实现,比如澳大利亚 Kapsch 安全审计人员 Florian Bogner 就发现了一个名叫“AVGa
  • 世味双笙2022-06-11 13:59:55
  • lorian Bogner 就发现了一个名叫“AVGater”的漏洞。他表示,其原理是将恶意软件从一个反病毒隔离文件夹中移出,然后转至受害系统上的某个敏感区域。Bogner 表示,他已经向所有存在该漏洞的反病毒软件

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理