安全研究人員近日揭露,金山毒霸與 360 安全衛士兩款軟件的內核驅動存在高危漏洞。攻擊者可利用這些漏洞實現對目標設備的完全控制。
漏洞細節與攻擊途徑
攻擊者透過這些漏洞,能從普通用戶權限提升至最高權限,繞過內核地址空間佈局隨機化(KASLR)保護,竊取內核憑據,甚至修改內核回調表以隱藏惡意行為。涉事驅動均擁有官方簽名,攻擊者無需在目標設備安裝額外軟件,即可直接載入惡意載荷,攻擊門檻極低。 金山毒霸的 kdhacker64_ev.sys 驅動存在緩衝區分配缺陷。該驅動處理用戶輸入時,分配的緩衝區大小僅為實際所需的一半,導致 1160 字節數據寫入僅 584 字節空間,引發內核池溢出。
該驅動持有有效的 EV 簽名,攻擊者可藉此繞過系統安全校驗。 360 安全衛士的漏洞位於 DsArk64.sys 驅動。該驅動允許透過特定介面傳入進程 ID,並在內核層級強制終止任意進程,甚至繞過受保護進程機制,對系統核心進程構成威脅。此外,其內核讀寫功能雖採用加密演算法,但解密密鑰硬編碼於文件中,且所有版本使用相同密鑰,大幅降低破解難度。 目前,這兩個高危漏洞已提交至相關漏洞數據庫。
AI 內容聲明:本文由 AI 工具輔助撰寫初稿,經 TechRitual 編輯團隊審閱、修訂及事實查核後發佈。如有任何錯誤或需要更正,歡迎聯絡我們。
