更新：360 官方產(chǎn)品答疑師回應(yīng)稱，360 安全衛(wèi)士不存在其所稱的漏洞。報(bào)道中提到的驅(qū)動功能，是用于查殺頑固病毒木馬的手段，這個(gè)功能只有具有管理員權(quán)限且有 360 簽名的進(jìn)程才能使用，所謂“可被利用竊取憑據(jù)”的說法純屬臆測，與實(shí)際情況完全不符。

IT之家 4 月 14 日消息，安全研究人員 Patrick Saif（@weezerOSINT）昨日（4 月 13 日）在 X 平臺發(fā)布推文，披露金山毒霸與 360 安全衛(wèi)士兩款主流殺毒軟件的內(nèi)核驅(qū)動存在高危漏洞。

金山毒霸的 kdhacker64_ev.sys 驅(qū)動在處理用戶輸入后，分配的緩沖區(qū)大小僅為所需的一半，導(dǎo)致 1160 字節(jié)數(shù)據(jù)寫入 584 字節(jié)空間，直接引發(fā) 512 字節(jié)的內(nèi)核池溢出。該驅(qū)動擁有有效的 EV 簽名，攻擊者可利用此漏洞完全控制系統(tǒng)。

360 安全衛(wèi)士的 DsArk64.sys 驅(qū)動允許通過 IOCTL 接口傳入 4 字節(jié)進(jìn)程 ID，并在 Ring 0 層級調(diào)用 ZwTerminateProcess 強(qiáng)制終止任意進(jìn)程，甚至能繞過 PPL（受保護(hù)進(jìn)程）機(jī)制。

更嚴(yán)重的是，其內(nèi)核讀寫功能使用 AES-128-CBC 算法，讓解密密鑰硬編碼在二進(jìn)制文件的.data 段中，且所有版本使用同一密鑰，且該驅(qū)動通過了 WHQL 簽名認(rèn)證。

目前兩個(gè)漏洞已提交至 LOLDrivers 數(shù)據(jù)庫，均未獲 CVE 編號且不在 HVCI 屏蔽名單中。攻擊者利用這些漏洞可從普通用戶提權(quán)至 SYSTEM，繞過 KASLR 并竊取內(nèi)核憑據(jù)，甚至修改內(nèi)核回調(diào)表隱藏惡意行為。鑒于涉事驅(qū)動具備 EV 或 WHQL 簽名，攻擊者無需在目標(biāo)機(jī)器安裝軟件即可加載惡意載荷。

IT之家附上參考地址

• @weezerOSINT的X 推文

• Vulnerable Driver: kdhacker64_ev.sys (Kingsoft AntiVirus)

• Add DsArk64.sys / DsArk.sys -- Qihoo 360 Total Security -- Kernel Process Kill, Kernel R/W (WHQL signed)

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。