更新时间:2021-12-05 09:21:38
卡巴斯基安全连接中发现的一个安全问题本身已捆绑在一系列其他卡巴斯基安全产品中,它允许恶意参与者在更复杂的攻击情况下获得签名的代码执行,持久性甚至防御规避。
该漏洞在CVE-2019-15689中进行了详细介绍,使黑客可以通过作为NT AUTHORITY / SYSTEM启动的签名版本来运行未签名的可执行文件,从而从技术上为受感染设备上的进一步恶意活动打开了大门。
SafeBreach解释说,与卡巴斯基反病毒软件,卡巴斯基互联网安全软件,卡巴斯基全面安全软件等捆绑在一起的卡巴斯基安全连接使用的服务具有SYSTEM权限,并且可执行文件由“ AO Kaspersly Lab”签名。
“如果攻击者找到了在此过程中执行代码的方法,则可以将其用作应用程序白名单绕过程序,这可能导致安全产品逃逸,” SafeBreach解释说。
而且由于该服务是在引导时运行的,这意味着潜在的攻击者甚至可以在每次系统启动时获得持久性来运行恶意有效负载。
需要管理员帐户
深入的分析表明,卡巴斯基的服务尝试加载一系列DLL,但其中的一些DLL丢失了,并且由于安全软件未使用签名验证,因此很容易将未签名的可执行文件伪装成已签名的可执行文件。此外,卡巴斯基服务不使用安全的DLL加载,这意味着它仅使用DLL的文件名而不是绝对路径。
“该漏洞使攻击者能够在AO Kaspersky Lab签名过程的上下文中加载和执行恶意有效载荷。攻击者可能出于不同目的(例如执行和防御逃避)滥用此功能,例如:“应用程序白名单绕过”。“该漏洞使攻击者能够在每次加载服务时以持久的方式加载和执行恶意有效载荷。”
SafeBreach还发现了一系列其他安全产品中的漏洞,他解释说攻击者需要在目标设备上拥有管理员特权。
该错误已于2019年7月报告给卡巴斯基,安全公司于11月21日发布了CVE-2019-15689。