48
|
日前,安全研究人员Patrick Saif在X平台发布推文,披露金山毒霸与360安全卫士两款主流杀毒软件的内核驱动存在高危漏洞。 金山毒霸的kdhacker64_ev.sys驱动在处理用户输入后,分配的缓冲区大小仅为所需的一半,导致1160字节数据写入584字节空间,直接引发512字节的内核池溢出。该驱动拥有有效的EV签名,攻击者可利用此漏洞完全控制系统。 360安全卫士的DsArk64.sys驱动允许通过IOCTL接口传入4字节进程ID,并在Ring 0层级调用ZwTerminateProcess强制终止任意进程,甚至能绕过PPL(受保护进程)机制。 更严重的是,其内核读写功能使用AES-128-CBC算法,让解密密钥硬编码在二进制文件的.data段中,且所有版本使用同一密钥,且该驱动通过了WHQL签名认证。 目前两个漏洞已提交至LOLDrivers数据库,均未获CVE编号且不在HVCI屏蔽名单中。攻击者利用这些漏洞可从普通用户提权至SYSTEM,绕过KASLR并窃取内核凭据,甚至修改内核回调表隐藏恶意行为。鉴于涉事驱动具备EV或WHQL签名,攻击者无需在目标机器安装软件即可加载恶意载荷。
|
|
|
|
|
|
“快速页面 / 文章重定向”(Quick Page/Post Redirect)插件安装量超 7 万,5 年前被...
多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击,被入侵后用于窃取开发者系统中的...
应用安全公司 Aisle 在开源电子病历平台 OpenEMR 中发现了数十个漏洞,其中包括一些可...
Forescout 的研究显示,数百万远程访问的 RDP 和 VNC 服务器暴露在互联网上,其中数百...
一个严重漏洞影响了除最新版本之外的所有 cPanel 及 WebHost Manager(WHM)控制面板...
在线交易平台罗宾汉(Robinhood)的账户创建流程被威胁行为者利用,他们将网络钓鱼信...
在黑客组织 ShinyHunters 宣称窃取了超 900 万条记录后,美敦力(Medtronic)证实其公...
自 2025 年 9 月起,一个名为 “幻影核心”(PhantomCore)的亲乌克兰黑客行动主义组...
粤ICP备2021058574号-1 |