https://www.hkepc.com/25477/中國金山毒霸、360 安全衛士
存在高危險漏洞 或致系統被完全控制
【安全軟件不安全 ... 】 中國媒體報道,安全專家 Impulsive 警告兩款來自中國的防毒軟件「金山毒霸」與「360 安全衛士」存在嚴重的高危漏洞,這些漏洞可能被黑客利用,或導致系統被黑客完全控制。其中一款更使用嵌入在二進制檔案中的靜態 AES 密鑰讀寫內核記憶體,這些做法竟然出現在所謂的「安全」產品上,實在令人嘆為觀止。
據中國《快科技》報道,安全專家 Impulsive 指控這兩款中國防毒軟件的驅動程式漠視安全,結果導致黑客可以利用這些驅動程式,從普通用戶權限提權至 SYSTEM 最高權限,繞過 KASLR(內核位址空間佈局隨機化)保護,竊取內核憑證,甚至修改內核回呼表以隱藏惡意行為。
由於這些驅動程式已具備 EV 或 WHQL 官方簽名,攻擊者無需在目標裝置上安裝額外軟件,即可直接載入惡意 payload,攻擊門檻極低。
安全專家 Impulsive 指控,金山毒霸的 kdhacker64_ev.sys 檔案,透過 IOCTL 0x120140 取得使用者輸入,分配的緩衝區大小只有應分配大小的一半,然後在呼叫 RtlInitUnicodeString 時沒有進行邊界檢查。輸入 1160 位元組,只分配 584 位元組,導致 512 位元組溢位直接進入內核池 EV 有符號記憶體。
360 安全衛士的 DsArk64.sys 透過 IOCTL 0x80863008 接收一個 4 位元組的原始程序 ID,並呼叫 Ring 0 的 ZwTerminateProcess 函數來終止所有程序,但卻完全漠視 PPL 保護。其內核讀寫操作使用 AES-128-CBC 加密,但密鑰卻硬編碼記錄在 .data 檔案中,所有版本都使用相同的密鑰。
諷刺的是,這兩個驅動程式都來自防毒產品,360 的 DsArk 其實是他們的 rootkit 掃描器,金山的 khacker 是他們的防火牆/防護驅動程式。用戶安裝防毒軟件本是用來保護系統,結果卻安裝了一個內核後門。
目前,安全專家 Impulsive 已將這兩個高危漏洞提交至 LOLDrivers 資料庫,要求 Microsoft 取消其 WHQL 簽名,並建議正在使用「金山毒霸」與「360 安全衛士」的用戶立即解除安裝該軟件。
