有網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，之前一些防毒軟件中都有安全漏洞，可以讓攻擊者提升他們的特權(quán)從而使惡意軟件可以在系統(tǒng)內(nèi)隱藏更久，就連Windows自帶的Defender也是一樣。

根據(jù)網(wǎng)絡(luò)安全研究機構(gòu)CyberArk的一份報告顯示，這些防毒軟件普遍都是需要高特權(quán)來運作的，因此在對面文件修改攻擊時它們會更易遭殃，從而導(dǎo)致惡意軟件獲得更高特權(quán)。這次受到影響的防毒軟件有知名的卡巴斯基、邁克菲、賽門鐵克、小紅傘等，還包括Windows默認(rèn)的Defender。不過這些軟件都已經(jīng)得到了相對應(yīng)的修復(fù)，所以問題不大。

在這些安全漏洞中，最重大的有兩個：可以從任意位置刪除檔案，使攻擊者可以刪除系列內(nèi)的任何檔案;以及可以允許攻擊者抹去檔案中所有內(nèi)容。

根據(jù)CyberArk的說法，這些漏洞是由Windows的“ C：\ ProgramData”文件夾的默認(rèn)DACL（自由訪問控制列表）導(dǎo)致的，它們可以讓應(yīng)用程序存儲數(shù)據(jù)而無需其他特權(quán)。由于每個用戶對于根目錄都有寫入及刪減特權(quán)，因此當(dāng)一個非特權(quán)的程序在“ProgramData”創(chuàng)建一個新檔案時，它在之后被提升特權(quán)的可能性就會增加。另外，研究人員也發(fā)現(xiàn)可以在執(zhí)行特權(quán)進程之前在“ C：\ ProgramData”中創(chuàng)建新文件夾，同樣也，可以被用作提升權(quán)限攻擊。

雖然說這些漏洞都已經(jīng)被修復(fù)，但是這也提醒著我們，即便是那些防毒軟件也同樣可以被用作允許惡意軟件入侵的一個入口，因此我們也需要多加注意。
責(zé)編AJX