近日,一位安全研究員在 X 平臺發佈推文,揭露金山毒霸與 360 安全衛士兩款主流防毒軟件的驅動存在高危漏洞。這些漏洞可被攻擊者利用,實現對目標設備的完全控制。據介紹,攻擊者透過這些漏洞,從普通用戶權限提升至 SYSTEM 最高權限,能繞過 KASLR(核心位址空間佈局隨機化)保護,竊取核心記憶體,甚至修改核心調度表以隱藏惡意行為。由於涉及驅動均為 EV 或 WHQL 官方簽名,攻擊者無需在目標設備安裝額外軟件,即可直接載入惡意驅動,攻擊門檻極低。
金山毒霸驅動緩衝區溢出漏洞詳情
金山毒霸的 kdhacker64_ev.sys 驅動存在明顯的緩衝區分配缺失。在處理用戶輸入時,分配的緩衝區大小僅為實際所需的一半,導致 1160 字節的資料被寫入 584 字節的空間,直接引發 512 字節的核心堆疊溢出。更值得注意,此驅動擁有有效的 EV 簽名,意味攻擊者可藉此漏洞輕鬆繞過系統安全檢查,實現對設備的完全控制。 360 安全衛士的漏洞則體現在 DsArk64.
sys 驅動上。該驅動允許透過 IOCTL 介面輸入 4 字節的進程 ID,並在 Ring 0 層級直接調用 ZwTerminateProcess 函數,可強制終止任意進程,甚至繞過 PPL(受保護進程輕量級)機制,對系統核心進程構成威脅。此外,該驅動的核心讀寫功能採用 AES-128-CBC 加密演算法,但解密金鑰硬編碼於二進制檔案的 .data 段,且所有版本均使用相同金鑰,大幅降低攻擊者的破解難度。
以下為兩漏洞規格比較:
| 軟件 | 驅動檔名 | 漏洞類型 | 主要影響 |
|---|---|---|---|
| 金山毒霸 | kdhacker64_ev.sys | 核心堆疊溢出 | 權限提升、完全控制 |
| 360 安全衛士 | DsArk64.sys | 任意進程終止、硬編碼金鑰 | 繞過 PPL、核心讀寫 |
目前,這兩個高危漏洞已提交至 LOLDrivers 資料庫。
AI 內容聲明:本文由 AI 工具輔助撰寫初稿,經 TechRitual 編輯團隊審閱、修訂及事實查核後發佈。如有任何錯誤或需要更正,歡迎聯絡我們。
