卡巴斯基軟件大漏洞： 為黑客提供簽名代碼執(zhí)行！

近日，安全研究公司SafeBreach在卡巴斯基安全連接軟件中發(fā)現(xiàn)的一個(gè)安全問題，編號為CVE-2019-15689的安全公告詳細(xì)介紹了該漏洞，該漏洞使黑客能夠通過作為NT權(quán)限/系統(tǒng)啟動(dòng)的簽名版本運(yùn)行未簽名的可執(zhí)行文件，技術(shù)上為在受攻擊設(shè)備上進(jìn)一步惡意活動(dòng)打開了大門。

它本身被捆綁到一系列其他卡巴斯基安全產(chǎn)品中，允許惡意攻擊者在更復(fù)雜的攻擊情況下獲得簽名代碼執(zhí)行，甚至規(guī)避防御。

SafeBreak解釋說，卡巴斯基安全連接捆綁到卡巴斯基殺毒軟件、卡巴斯基互聯(lián)網(wǎng)安全軟件、卡巴斯基Total Security軟件和其他軟件中，使用的服務(wù)具有系統(tǒng)權(quán)限，并且可執(zhí)行文件由“ AO Kaspersly Lab”簽名。如果攻擊者找到了在此過程中執(zhí)行代碼的方法，則可以將其用作應(yīng)用程序白名單繞過安全產(chǎn)品。

而且由于該服務(wù)是在引導(dǎo)時(shí)運(yùn)行的，這意味著潛在的攻擊者甚至可以在每次系統(tǒng)啟動(dòng)時(shí)獲得持久性，來運(yùn)行惡意有效負(fù)載。深入分析發(fā)現(xiàn)，卡巴斯基的服務(wù)試圖加載一系列dll，其中一些dll丟失了，而且由于安全軟件不使用簽名驗(yàn)證，很容易將未簽名的可執(zhí)行文件偽裝成已簽名的可執(zhí)行文件。

此外，Kaspersky服務(wù)不使用安全DLL加載，這意味著它只使用DLL的文件名，而不是絕對路徑。該錯(cuò)誤已于2019年7月報(bào)告給卡巴斯基，SafeBreak于11月21日發(fā)布了CVE-2019-15689安全公告。