安全软件出事了,装了金山毒霸或者360安全卫士的电脑可能更危险。
4月13号,安全研究人员Patrick Saif在X平台发帖,曝光了金山毒霸和360安全卫士各有一个内核驱动高危漏洞,攻击者能直接拿到电脑的最高权限。
先说金山毒霸的问题,它的kdhacker64_ev.sys驱动在处理数据时只分配了584字节的缓存空间,但实际要装1160字节的数据,多出来的512字节就会溢出到内核内存里,攻击者可以精心构造数据触发这个溢出,然后在内核层级执行自己的恶意代码,电脑就完全被控制了,这个驱动还带着微软的EV代码签名,Windows把它当成高度可信的程序,不会弹出任何警告,你以为是杀毒软件在保护你,其实是给黑客开了个后门。
再看360安全卫士,它的DsArk64.sys驱动允许外部程序通过IOCTL接口传一个进程ID进来,然后在内核层直接调用ZwTerminateProcess函数强制结束任何进程,连系统核心进程都能干掉,这还不是最离谱的,这个驱动还提供了内核读写功能,虽然用了AES-128-CBC加密,但解密密钥就硬编码在驱动的二进制文件里,而且所有版本用的都是同一个密钥,等于把保险箱密码写在箱子外面,这个驱动也通过了微软的WHQL签名认证,系统默认完全信任。
两个漏洞结合起来,攻击者可以从普通用户权限直接提权到SYSTEM最高权限,绕过内核地址空间随机化保护,窃取内核里的账号密码,甚至修改内核回调表来隐藏自己的病毒和木马,因为两个驱动都有合法签名,攻击者甚至不需要在目标电脑上安装任何软件,直接加载恶意驱动就能搞定,攻击门槛非常低。
目前这两个漏洞已经被收录到LOLDrivers数据库,没有CVE编号,也不在微软的HVCI屏蔽名单里,漏洞细节已经在海外技术社区公开,相关的验证代码很容易被仿制,黑产团伙很可能已经在批量制作攻击工具了。
这件事最讽刺的地方在于,微软对EV签名和WHQL签名的审核非常严格,只有正规厂商通过安全验证的程序才能拿到,本意是让用户和系统放心使用,结果这个信任机制反而变成了最危险的外衣,安全软件自己变成了风险源头,普通用户根本没办法分辨哪些驱动有问题,也没办法手动拦截。
我查了一下,卡饭论坛有用户指出,研究人员测试的可能涉及2017年版本的金山毒霸和2024年版本的360国际版,但问题在于大量用户根本不会及时更新软件,很多人的电脑里还装着几年前的旧版本,更关键的是,这种内核级漏洞暴露的是整个安全软件开发流程里的系统性缺陷,硬编码密钥、缓冲区溢出、权限校验缺失,这些问题在任何版本里都应该被严格审核,不是靠用户手动更新就能解决的。
那么普通用户现在该怎么办,第一,建议暂时卸载存在漏洞的安全软件,改用Windows自带的Defender或者其他口碑稳定的安全工具,第二,及时更新系统补丁,微软通常会针对内核漏洞发布紧急修复,开启自动更新能拦截一部分攻击路径,第三,不要随意下载陌生软件,也不要打开不明链接,黑客往往通过捆绑安装和钓鱼网站来触发漏洞,保持好的上网习惯能大幅降低中招概率,企业用户要立刻排查内网电脑,防止核心数据被窃取或者服务器被控制。
这次事件给安全行业敲了警钟,安全软件的核心任务是保护用户设备,自己代码的安全性都不能保证,功能再多也没用,希望金山和360尽快出修复补丁,别让老用户寒了心,电脑安全不能只靠一个软件,自己保持警惕才是硬道理。
全部评论