4 月 14 日消息,安全研究人員 Patrick Saif(@weezerOSINT)昨日(4 月 13 日)在 X 平臺發布推文,披露金山毒霸與 360 安全衛士兩款主流殺毒軟件的內核驅動存在高危漏洞。
金山毒霸的kdhacker64_ev.sys驅動在處理用戶輸入后,分配的緩沖區大小僅為所需的一半,導致 1160 字節數據寫入 584 字節空間,直接引發 512 字節的內核池溢出。該驅動擁有有效的 EV 簽名,攻擊者可利用此漏洞完全控制系統。
360 安全衛士的DsArk64.sys驅動允許通過 IOCTL 接口傳入 4 字節進程 ID,并在 Ring 0 層級調用 ZwTerminateProcess 強制終止任意進程,甚至能繞過 PPL(受保護進程)機制。
更嚴重的是,其內核讀寫功能使用 AES-128-CBC 算法,讓解密密鑰硬編碼在二進制文件的.data 段中,且所有版本使用同一密鑰,且該驅動通過了 WHQL 簽名認證。
目前兩個漏洞已提交至 LOLDrivers 數據庫,均未獲 CVE 編號且不在 HVCI 屏蔽名單中。攻擊者利用這些漏洞可從普通用戶提權至 SYSTEM,繞過 KASLR 并竊取內核憑據,甚至修改內核回調表隱藏惡意行為。鑒于涉事驅動具備 EV 或 WHQL 簽名,攻擊者無需在目標機器安裝軟件即可加載惡意載荷。
