未为dll加载任何符号_专家发现aspersky 和Trend Micro安全性解决方案中的DLL劫持问题...
SafeBreach的研究人员发现了Kaspersky安全连接、Trend Micro最大安全性和Autodesk桌面应用程序中的几个DLL劫持漏洞,黑客可以利用这些漏洞进行DLL预加载、代码执行和权限升级。
第一个问题在卡巴斯基安全连接(KSDE) VPN客户端,跟踪为CVE-2019-15689,可以利用攻击者植入和运行一个任意的无签名的可执行文件。
SafeBreach的研究人员在过去的几个月中发现了类似的DLL劫持漏洞,这些漏洞影响了McAfee, Symantec, Avast和Avira的安全解决方案 。在上述解决方案中,特权进程正在尝试加载不在预期位置的库,从而使攻击者可以放置自己的库并使它们执行。
在所有情况下,特权进程都不会针对加载的DLL实施任何签名验证。
专家指出,KSDE是一种签名服务,它在系统启动时自动启动,并作为系统运行。该服务尝试加载多个丢失的DLL,具有管理权限的攻击者可以在ksde.exe上下文中加载具有系统权限的恶意库。
专家注意到,该进程尝试仅使用文件名而不是绝对路径来加载库,通过执行库,攻击者可以在已签名的Kaspersky进程中执行任意代码。
"这个攻击者可能在利用后的阶段利用此漏洞,以实现签名的代码执行,持久性以及在某些情况下逃避防御。这个漏洞可能已经允许攻击者植入任意的无符号的可执行文件,通过签订服务作为运行NT AUTHORITY SYSTEM。"执行读取专家们发表的帖子。 "使用CVE-2019-15689漏洞,我们能够加载由DLL签名的任意DLL文件。卡巴斯基实验室并以NT AUTHORITY SYSTEM身份运行。我们的代码是在ksde.exe中执行的。
研究人员通过从原始ckahum.dll DLL文件中编译出x86无符号的任意DLL来测试该漏洞,该文件写入了加载该进程的名称,执行该进程的用户名以及该DLL文件的名称。然后专家将其植入C: Windows SysWow64 Wbem中,然后重新启动计算机:
专家们还发现了一个类似的问题,名为CVE-2019-7365,它试图从PATH环境变量内的不同目录加载缺少的DLL文件。
可以使用此漏洞将任意未签名的DLL加载到作为NT AUTHORITYSYSTEM运行的服务中,从而实现权限升级和持久性。帖子上写道。
专家还报告了一个跟踪为CVE-2019-15628的DLL劫持漏洞,影响了趋势科技最高安全产品,该漏洞可被利用来实现防御逃避,自卫绕过,持久性以及在某些情况下通过加载任意文件来提升特权未签名的DLL转换为以NT AUTHORITY SYSTEM运行的多个服务。
专家发现,该软件的某些部分作为非PPL进程运行,从而使攻击者可以加载未签名的代码,因为未强制执行CIG(代码完整性保护)机制。
该漏洞使攻击者可以提升特权,普通用户可以写入丢失的DLL文件并以NT AUTHORITY SYSTEM的形式执行代码。
"在我们的VM上,安装了Python 2.7。c: python27有一个ACL,它允许任何经过身份验证的用户将文件写入ACL。这使特权升级变得简单,允许普通用户写入丢失的DLL文件并以NT AUTHORITY SYSTEM的形式执行代码。" 读取分析。
SafeBreach于7月将这些漏洞报告给了各自的公司,并发布了有关漏洞的安全公告。
未为dll加载任何符号_专家发现aspersky 和Trend Micro安全性解决方案中的DLL劫持问题...相关推荐
- initpki.dll加载失败 找不到指定的模块的解决办法
有用户在更新Win10系统时,收到提示"模块'initpki.dll'加载失败.请确保该二进制存储在指定的路径中,或者调试它以检查该二进制或相关的DLL文件是否有问题.找不到指定的程序.&q ...
- 没有为 ucrtbase.dll 加载符号_深入理解Java虚拟机(类加载机制)
上一篇文章我们介绍了「类文件结构」,这一篇我们来看看虚拟机是如何加载类的. 我们的源代码经过编译器编译成字节码之后,最终都需要加载到虚拟机之后才能运行.虚拟机把描述类的数据从 Class 文件加载到内 ...
- 当前不会命中断点还未为文档加载任何符号——问题探究
今天在调试牛腩网页的时候遇到了一个问题需要用到断点调试来解决,可是加了断点之后出现了下面的情况: 然后就郁闷了,查了百度之后得到了如下的结果: 断点调试是VS中的一大利器,有了它我们可以快速定位到代码 ...
- 调试实战 —— dll 加载失败之 Debug Release争锋篇
缘起 最近,项目里遇到一个 dll 加载不上的问题.实际项目比较复杂,但是解决后,又是这么的简单,合情合理.本文是我使用示例工程模拟的,实际项目中另有玄机,但问题的本质是一样的.本文从行文上与 < ...
- 调试实战 —— dll 加载失败之全局变量初始化篇
前言 最近项目里总是遇到 dll 加载不上的问题,原因各种各样.今天先总结一个虽然不是项目中实际遇到的问题,但是却非常经典的问题.其它几种问题,后续慢慢总结. 示例代码包含一个 exe 工程,两个 d ...
- 遇到Visual Studio 当前不会命中断点.还没有为该文档加载任何符号的情况
一.问题及原因 有这样一种调用逻辑:A.exe调用B.dll.现在想要在B的源代码中打断点,从A发起进行调试,却给出了"当前不会命中断点.还没有为该文档加载任何符号"的提示.感觉十 ...
- 使用OD加载微软符号库
Windbg可以加载微软符号库,如果本地没有符号,可以自动去微软网站上下载对应的PDB文件辅助调试分析. PS:WingDbg下的符号加载,SRV*c:/windows/symbols*http:// ...
- [转]当前不会命中断点 还没有为该文档加载任何符号
相信很多人在网页编程时都遇到过这个问题,就是设置断点时给出提示,之后不能选中.我今天也碰到这个问题了,足足折磨了我一天.设置是debug没错,我也没有找到"C/C++->常规-> ...
- “当前不会命中断点 还没有为该文档加载任何符号”解决方法
"当前不会命中断点 还没有为该文档加载任何符号"解决方法 参考文章: (1)"当前不会命中断点 还没有为该文档加载任何符号"解决方法 (2)https://ww ...
最新文章
- 打造一款高逼格的Vim神器
- 哲学家就餐 java_java模拟哲学家就餐问题
- 微软云平台媒体服务实践系列 1- 使用静态封装为iOS, Android 设备实现点播(VoD)方案...
- Python 技术篇-使用opencv库读取中文路径图片报错解决办法
- COCI CONTEST #3 29.11.2014 KAMIONI
- python字符串连接优先使用jion而非+
- Java FilterInputStream skip()方法与示例
- Java数组数字排列
- DataGridView 与货币管理器的位置关联的行不能设置为不可见
- QTP11 5 HP UFT 11 5 下载地址
- win10 64位系统 excel2016 vba odbc方式 访问 oracle远程数据库 免安装oracle客户端
- 快速学计算机的方法,学电脑打字用什么方法学的最快
- element ui级联选择器添加必填验证
- IE 浏览器阻止打印页面的方法
- 学习 spring-cloud-aibaba第九篇,综合应用微信小程序《背诗词》
- 红帽 Linux 考试 要求
- 计算机网络速度测试指令,电脑cmd命令怎么测试网速详细步骤
- UIFont-动态字体
- 需求文档中的“项目前景与范围”
- buuctf - crypto - Rabbit