毒霸与360被曝内核驱动高危漏洞 或致操作系统被完控

日前一位安全研究人员在X平台发布推文，披露了金山毒霸与360安全卫士两款主流杀毒软件的内核驱动存在高危漏洞，这些漏洞可能被攻击者利用，实现对目标设备的完全控制。

据介绍，攻击者利用这些漏洞，可从普通用户权限提权至SYSTEM最高权限，绕过KASLR（内核地址空间布局随机化）保护，窃取内核凭据，甚至修改内核回调表以隐藏恶意行为。

由于涉事驱动均具备EV或WHQL官方签名，攻击者无需在目标设备上安装额外软件，即可直接加载恶意载荷，攻击门槛极低。

其中，金山毒霸的kdhacker64_ev.sys驱动存在明显的缓冲区分配缺陷。

该驱动在处理用户输入时，分配的缓冲区大小仅为实际所需的一半，导致1160字节的数据被写入仅584字节的空间，直接引发512字节的内核池溢出。

值得注意的是，该驱动持有有效的EV签名，这意味着攻击者可借助此漏洞轻松绕过系统安全校验，实现对设备的完全控制。

360安全卫士的漏洞则体现在DsArk64.sys驱动上。

该驱动允许通过IOCTL接口传入4字节的进程ID，并在Ring 0层级直接调用ZwTerminateProcess函数，可强制终止任意进程，甚至能绕过PPL（受保护进程）机制，对系统核心进程造成威胁。

不仅如此，该驱动的内核读写功能采用AES-128-CBC加密算法，但其解密密钥被硬编码在二进制文件的.data段中，且所有版本均使用同一密钥，极大降低了攻击者的破解难度。

目前，这两个高危漏洞已被提交至LOLDrivers数据库。

相关报道: