使用“代码挂钩”的安全软件将打开黑客的门
安全性,性能,虚拟化和其他类型的程序用于监控第三方进程的一些侵入性技巧引入了黑客可以利用的漏洞。
数据的研究人员在研究软件供应商如何使用“挂钩”将代码注入过程中,发现了六个常见的安全问题,以便将代码注入一个过程,以便拦截,监控或修改潜在敏感系统API(应用程序编程接口)这个过程所做的呼叫。
大多数缺陷Ensilo发现允许攻击者轻松绕过Windows或第三方应用程序中可用的防爆性缓解,使攻击者能够利用它们无法否则或者剥削易于缺乏的漏洞。当周二发表的报告中表示,其他缺陷允许攻击者在受害者“计算机上或将恶意代码注入他们的任何流程中,或者将恶意代码注入他们的任何过程中。
挂钩方法广泛用于防病毒世界,以监测潜在的恶意行为,但也用于防剥削,虚拟化,性能监测和沙箱应用。一些恶意软件程序还可以挂钩浏览器进程以启动所谓的浏览器攻击。
防病毒程序占据了大多数受影响的产品中所确定的受影响产品,但一个漏洞也存在于由Microsoft开发的商业挂钩引擎中存在,并由100多个其他软件供应商使用。
Ensilo确定了来自AVG,卡巴斯基实验室,麦克菲/英特尔安全,赛门铁克,趋势科技,Bitdefender,Citrix,WebRoot,Avast,Emsisoft和Vera安全性的受影响的产品。
其中一些供应商已经发布了缺陷的修复,但修补并不容易,因为它通常需要杂文重新编译每个受影响的产品。Ensilo表示,微软计划为其Microsoft Detours挂钩引擎发出修补程序。
Bitdefender表示,它在1月19日修复了问题,并推动了对受影响的客户的修复。赛门铁克表示,它在3月份修复了这个问题,维拉担保说,减轻风险的变化已经在生产的一段时间内。安全公司Webroot表示,它在12月下旬通知了这一周后,它会修补漏洞,客户从云中自动收到更新。
研究人员计划在8月初在拉斯维加斯即将推出的黑帽安全会议期间发布漏洞的技术细节。
这不是第一次通过防病毒产品引入这种安全疲软。去年,Ensilo研究人员发现,来自英特尔安全,卡巴斯基实验室和AVG的产品分配了一个带有读,写和执行权限的内存页面到用户模式进程。这允许攻击者绕过反剥削保护,例如地址空间布局随机化(ASLR)和第三方应用程序的数据执行预防(DEP)。
事实上,发现这一发现将这种更大的研究促进了不同产品使用的挂钩实现。
难以估计弱势系统的数量,但由于受影响的软件包括Microsoft Detours引擎,Ensilo研究人员认为,数十万用户可能会受到影响。根据他们,绕行脆弱性至少存在八年。
“使用受影响软件的公司应该从供应商那里获得补丁,如果可用,”Ensilo研究人员表示。“客户使用受影响的供应商的软件应联系他们的供应商并要求修补软件。”
微软说:“Windows是唯一具有客户承诺来调查报告的安全问题的平台,并尽快主动更新受影响的设备。我们建议客户使用Windows 10和Microsoft Edge浏览器以获得最佳保护。我们的标准政策是通过我们当前的更新周二计划提供解决方案。“