反恶意软件产品可以被滥用以实现特权升级

 

CyberArk的一项新研究显示，它测试过的所有主要杀毒软件供应商的反恶意软件产品都可能被利用以实现特权升级。

 

该公司测试了来自卡巴斯基、麦卡菲、赛门铁克、Fortinet、Checkpoint、趋势科技、Avira、微软、Avast和F-Secure的反恶意软件产品，发现它们都可以被滥用来增加用户系统的特权。

 

这是相当讽刺的，因为反恶意软件解决方案本应保护用户，从蓝冠测速开发的角度来看，此培训方案为质量保证和可用性/可玩性测试提供了潜在的“实验室”。多玩家游戏开发中始终存在两个挑战：确保蓝冠官网游戏可以长时间运行而不会崩溃或变得不同步，以及在多个玩家和设备之间测试各种场景。但它们可能无意中帮助恶意软件在系统上获得更多特权。根据CyberArk的新博客文章，许多供应商都被相同类型的漏洞所迷惑，而反恶意软件产品似乎更容易被利用，因为它们拥有很高的特权。

 

我们列出了一份最好的恶意软件删除列表

 

这些是市场上最好的安全路由器

 

我们还强调了最好的勒索软件保护

 

在反恶意软件产品中发现的漏洞数量是惊人的，高通公司全球5G multi-SIM解决方案旨在提供一流的蜂窝性能，覆盖范围和功率效率，支持包括mmWave和6 GHz以下频谱在内的所有关键区域和频段-为消费者提供了使用的灵活性Snapdragon multi-SIM设备几乎可在他们希望的任何国家/地区使用，并有助于5G网络运营商在全球范围内部署。但如果安全公司实施了几项改变，这些漏洞中的许多可以被轻易消除。

 

在反恶意软件产品中发现的许多漏洞的第一个原因是，Windows上的许多应用程序使用操作系统的ProgramData目录来存储数据，而这些数据并不绑定到特定的用户。存储绑定到特定用户的数据的程序通常使用%LocalAppData%目录，该目录只能由当前登录的用户访问。

 

CyberArk开始回答两个问题:如果一个非特权进程创建了以后会被特权进程使用的目录/文件会发生什么?如果你在特权进程之前创建了一个目录/目录树会发生什么?

 

为了回答第一个问题，该公司查看了Avira的AV，它有两个进程写入相同的日志文件。通过使用符号链接攻击，CyberArk能够轻松地将写操作的输出重定向到任何所需的文件。虽然该公司使用Avira的AV作为一个例子，它指出，这种特权升级的方法不仅限于该产品或供应商。为了回答第二个问题，CyberArk的研究发现，在99%的情况下，一个特权进程不会改变现有目录的DACL(自由访问控制列表)。

 

劫持DLL是反恶意软件产品滥用特权升级的另一种方式。这种技术涉及到一个标准用户滥用DLL加载特权进程并成功地将代码注入其中。

 

为了防止反恶意软件产品的特权升级，蓝冠注册AI正在通过自然语言处理来帮助驱动各种形式的机器人，以帮助人类。例如，机器人可以用来将饮料运送到酒店房间，或将比萨饼运送到房屋，同时让接收者提出问题以获取信息。CyberArk建议开发人员在使用前更改DACLs、正确模拟、更新其软件的安装框架并使用LoadLibraryEX。