信息來(lái)源：FreeBuf

幾款常見(jiàn)的反病毒軟件中曝出存在一種可讓攻擊者利用隔離區(qū)來(lái)提升惡意軟件權(quán)限的問(wèn)題，涉及的反病毒軟件廠商具體有趨勢(shì)科技、Emisoft、卡巴斯基，Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒軟件。其他廠商的反病毒軟件也有可能受到影響。

攻擊利用方法

攻擊者如果侵入了計(jì)算機(jī)系統(tǒng)，他們總是會(huì)想要提權(quán)來(lái)獲取機(jī)密數(shù)據(jù)，并自如地穿梭在網(wǎng)絡(luò)中之中。近日，信息安全審計(jì)員 Florian Bogner 發(fā)現(xiàn)了一種全新的提權(quán)方法：利用反病毒軟件的隔離區(qū)特性。這種攻擊方法 AVGater 的具體實(shí)現(xiàn)，組合利用了幾個(gè)反病毒軟件的設(shè)計(jì)漏洞和已知技巧。

按照 Bogner 的說(shuō)法，這個(gè)攻擊首先使用惡意 DLL 文件放入防病毒軟件的隔離區(qū)。然后攻擊者可以利用安全軟件的 Windows 進(jìn)程（SYSTEM權(quán)限）來(lái)修復(fù)這個(gè)文件。但畢竟是惡意文件，它并不會(huì)回到原始路徑下，而是能夠移動(dòng)到操作系統(tǒng)的特權(quán)區(qū)域——比如 Program Files 或者 Windows 文件夾中——這樣這個(gè)惡意文件就不會(huì)被低權(quán)限的用戶處理掉。

一旦惡意 DLL 文件移動(dòng)到了目標(biāo)文件夾中，與該文件夾所關(guān)聯(lián)的 Windows 進(jìn)程自然就會(huì)執(zhí)行相關(guān)的工作，惡意 DLL 就這樣會(huì)被執(zhí)行。

及時(shí)更新反病毒軟件產(chǎn)品

據(jù)了解，目前這個(gè)漏洞會(huì)影響趨勢(shì)科技、Emsisoft, 卡巴斯基,，Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒軟件。其他廠商的反病毒軟件也有可能受到影響（在修復(fù)程序放出之前并不會(huì)公開(kāi)這些廠商的名字）。

想要了解具體的內(nèi)容，可以參考 Bogner 發(fā)布的兩篇博客：他針對(duì)這個(gè)問(wèn)題分別為 Emsisoft 以及 Malwarebytes 廠商的反病毒軟件進(jìn)行了剖析。你可以看到他是如何從攻擊者視角進(jìn)行分析，放置惡意DLL文件和提權(quán)。

所以說(shuō)，安全產(chǎn)品也和其他軟件產(chǎn)品一樣，都會(huì)存在漏洞和問(wèn)題，可能被其他目的的人利用。