信息來源:HackerNews
安全研究公司SafeBreach在卡巴斯基安全連接軟件中發(fā)現(xiàn)的一個安全問題,它本身被捆綁到一系列其他卡巴斯基安全產(chǎn)品中,允許惡意攻擊者在更復(fù)雜的攻擊情況下獲得簽名代碼執(zhí)行,甚至規(guī)避防御。
編號為CVE-2019-15689的安全公告詳細介紹了該漏洞,該漏洞使黑客能夠通過作為NT權(quán)限/系統(tǒng)啟動的簽名版本運行未簽名的可執(zhí)行文件,技術(shù)上為在受攻擊設(shè)備上進一步惡意活動打開了大門。
SafeBreak解釋說,卡巴斯基安全連接捆綁到卡巴斯基殺毒軟件、卡巴斯基互聯(lián)網(wǎng)安全軟件、卡巴斯基Total Security軟件和其他軟件中,使用的服務(wù)具有系統(tǒng)權(quán)限,并且可執(zhí)行文件由“ AO Kaspersly Lab”簽名。如果攻擊者找到了在此過程中執(zhí)行代碼的方法,則可以將其用作應(yīng)用程序白名單繞過安全產(chǎn)品。
而且由于該服務(wù)是在引導(dǎo)時運行的,這意味著潛在的攻擊者甚至可以在每次系統(tǒng)啟動時獲得持久性,來運行惡意有效負載。深入分析發(fā)現(xiàn),卡巴斯基的服務(wù)試圖加載一系列dll,其中一些dll丟失了,而且由于安全軟件不使用簽名驗證,很容易將未簽名的可執(zhí)行文件偽裝成已簽名的可執(zhí)行文件。此外,Kaspersky服務(wù)不使用安全DLL加載,這意味著它只使用DLL的文件名,而不是絕對路徑。該錯誤已于2019年7月報告給卡巴斯基,SafeBreak于11月21日發(fā)布了CVE-2019-15689安全公告。