很多杀毒软件都有漏洞,攻击者可以利用这些漏洞来提升自己的权限隐藏的时间更长,就连Windows自带的Defender也是一样。根据网络安全研究机构Cyber??Ark的一份报告显示,这些杀毒软件一般都需要高权限才能运行,因此它们会更容易受到面对面的文件修改攻击,从而导致恶意软件获得更高的权限。此次受影响的杀毒软件包括知名的Kaspersky、McAfee、Symantec、Xiaohongsan等,以及默认的WindowsDefender。不过这些软件都做了相应的修复,所以问题不大。在这些安全漏洞中,有两个是最重要的:从任何位置删除档案的能力,允许攻击者删除系列中的任何档案;以及允许攻击者删除存档的所有内容的能力。据Cyber??Ark称,这些缺陷是由Windows的“C:\ProgramData”文件夹的默认DACL(自主访问控制列表)引起的,它允许应用程序在没有额外权限的情况下存储数据。由于每个用户对根目录都有写入和删除权限,当一个非特权程序在“ProgramData”中创建一个新文件时,其权限被提升的可能性就会增加。此外,研究人员还发现,在执行特权进程之前,可以在“C:\ProgramData”中创建新的文件夹,也可以作为提权攻击。虽然这些漏洞已经被修复,但也提醒我们,即使是那些杀毒软件,也可以作为入口点让恶意软件进入,所以需要多加注意。
