99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


微軟Application Verifier曝0day漏洞,影響趨勢(shì)科技、卡巴斯基、賽門鐵克在內(nèi)的大量安全產(chǎn)品

近日,Cybellum公司發(fā)現(xiàn)了一個(gè)0-day漏洞,可完全控制大多數(shù)安全產(chǎn)品。此漏洞稱為“DoubleAgent”(雙面間諜),多家安全廠商受到DoubleAgent的影響,包括Avast,AVG,Avira,Bitdefender,趨勢(shì)科技,Comodo科摩多,ESET,F(xiàn)-Secure,卡巴斯基,Malwarebytes,McAfee,Panda,Quick Heal和賽門鐵克(Norton)。

目前僅有幾家公司放出針對(duì)該漏洞的補(bǔ)丁。

Avast (CVE-2017-5567)

AVG (CVE-2017-5566)

Avira (CVE-2017-6417)

Bitdefender (CVE-2017-6186)

趨勢(shì)科技 (CVE-2017-5565)

Comodo

ESET

F-Secure

卡巴斯基

Malwarebytes

McAfee

Panda

Quick Heal

Norton

漏洞利用

此次攻擊涉及到微軟的非托管代碼的運(yùn)行驗(yàn)證工具——Application Verifier(應(yīng)用程序檢驗(yàn)器)。由Windows XP時(shí)代引入的Application Verifier,在所有Windows版本中都默認(rèn)安裝,其作用是幫助開發(fā)人員快速地在其應(yīng)用程序中找到微小的編程錯(cuò)誤,因此該漏洞在所有版本的Windows系統(tǒng)上都可利用。

該工具會(huì)在目標(biāo)應(yīng)用程序運(yùn)行測(cè)試的工程中加載一個(gè)叫做“verifier provider DLL”的文件。

一旦加載完成,該DLL將作為指定進(jìn)程的提供程序DLL添加到Windows注冊(cè)表。 隨后Windows會(huì)自動(dòng)以該DLL注冊(cè)名將DLL注入到所有進(jìn)程中。

據(jù)Cybellum公司介紹,Microsoft Application Verifier的工作機(jī)制使得大量惡意軟件能夠通過高權(quán)限執(zhí)行,攻擊者可注冊(cè)一惡意DLL來注入到殺毒軟件或是其他終端安全產(chǎn)品,并劫持代理。部分安全產(chǎn)品嘗試保護(hù)與其進(jìn)程相關(guān)的注冊(cè)表項(xiàng),但是研究人員已經(jīng)找到了一種方法來輕松繞過此保護(hù)。

當(dāng)惡意軟件劫持一款安全產(chǎn)品之后,攻擊者就能利用它做很多事情,比如讓安全產(chǎn)品做出如黑客行為般的惡意操作——修改白名單/黑名單或內(nèi)部邏輯,下載后門,泄露數(shù)據(jù),將惡意軟件傳播到其他機(jī)器上,加密/刪除文件(類似于勒索軟件)。

此惡意代碼會(huì)在系統(tǒng)重啟,軟件升級(jí)或是安全產(chǎn)品再安裝過程中甚至之后注入,因此這種攻擊難以防范。

據(jù)稱“DoubleAgent”攻擊可在所有Windows版本中生效,然而,這種攻擊建立在一個(gè)合法工具之上,微軟也措手無策。

Cybellum公司已在GitHub上公布漏洞利用細(xì)節(jié)

研究員對(duì)Avira的控制演示

https://v.qq.com/x/page/d03863w6k9t.html

來源:Freebuf.COM

原文地址:http://www.freebuf.com/vuls/130075.html

上一篇
下一篇

聯(lián)系我們:cert@chaosec.com