SafeBreach的研究人員發現了Kaspersky安全連接、Trend Micro最大安全性和Autodesk桌面應用程序中的幾個DLL劫持漏洞，黑客可以利用這些漏洞進行DLL預加載、代碼執行和權限升級。

第一個問題在卡巴斯基安全連接(KSDE) VPN客戶端，跟蹤為CVE-2019-15689，可以利用攻擊者植入和運行一個任意的無簽名的可執行文件。

SafeBreach的研究人員在過去的幾個月中發現了類似的DLL劫持漏洞，這些漏洞影響了McAfee， Symantec， Avast和Avira的安全解決方案 。在上述解決方案中，特權進程正在嘗試加載不在預期位置的庫，從而使攻擊者可以放置自己的庫并使它們執行。

在所有情況下，特權進程都不會針對加載的DLL實施任何簽名驗證。

專家指出，KSDE是一種簽名服務，它在系統啟動時自動啟動，并作為系統運行。該服務嘗試加載多個丟失的DLL，具有管理權限的攻擊者可以在ksde.exe上下文中加載具有系統權限的惡意庫。

專家注意到，該進程嘗試僅使用文件名而不是絕對路徑來加載庫，通過執行庫，攻擊者可以在已簽名的Kaspersky進程中執行任意代碼。

"這個攻擊者可能在利用后的階段利用此漏洞，以實現簽名的代碼執行，持久性以及在某些情況下逃避防御。這個漏洞可能已經允許攻擊者植入任意的無符號的可執行文件，通過簽訂服務作為運行NT AUTHORITY SYSTEM。"執行讀取專家們發表的帖子。 "使用CVE-2019-15689漏洞，我們能夠加載由DLL簽名的任意DLL文件?？ò退够鶎嶒炇也⒁訬T AUTHORITY SYSTEM身份運行。我們的代碼是在ksde.exe中執行的。

研究人員通過從原始ckahum.dll DLL文件中編譯出x86無符號的任意DLL來測試該漏洞，該文件寫入了加載該進程的名稱，執行該進程的用戶名以及該DLL文件的名稱。然后專家將其植入C： Windows SysWow64 Wbem中，然后重新啟動計算機：

專家們還發現了一個類似的問題，名為CVE-2019-7365，它試圖從PATH環境變量內的不同目錄加載缺少的DLL文件。

可以使用此漏洞將任意未簽名的DLL加載到作為NT AUTHORITYSYSTEM運行的服務中，從而實現權限升級和持久性。帖子上寫道。

專家還報告了一個跟蹤為CVE-2019-15628的DLL劫持漏洞，影響了趨勢科技最高安全產品，該漏洞可被利用來實現防御逃避，自衛繞過，持久性以及在某些情況下通過加載任意文件來提升特權未簽名的DLL轉換為以NT AUTHORITY SYSTEM運行的多個服務。

專家發現，該軟件的某些部分作為非PPL進程運行，從而使攻擊者可以加載未簽名的代碼，因為未強制執行CIG(代碼完整性保護)機制。

該漏洞使攻擊者可以提升特權，普通用戶可以寫入丟失的DLL文件并以NT AUTHORITY SYSTEM的形式執行代碼。

"在我們的VM上，安裝了Python 2.7。c： python27有一個ACL，它允許任何經過身份驗證的用戶將文件寫入ACL。這使特權升級變得簡單，允許普通用戶寫入丟失的DLL文件并以NT AUTHORITY SYSTEM的形式執行代碼。" 讀取分析。

SafeBreach于7月將這些漏洞報告給了各自的公司，并發布了有關漏洞的安全公告。

總結

以上是生活随笔為你收集整理的未为dll加载任何符号_专家发现aspersky 和Trend Micro安全性解决方案中的DLL劫持问题...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。