漏洞总结
下文介绍了在金山毒霸/ Internet Security 9+中发现的一个能导致权限提升的内核堆栈溢出漏洞。金山毒霸为用户免费提供高效的安全保护解决方案。 它将云安全技术应用于监视,扫描和保护您的系统,让你的系统安全无忧。这种综合病毒防御工具可以让你的电脑免受有害的病毒、蠕虫和特洛伊木马的侵害。由于其简单易用,用户可以很轻松地使用金山毒霸。
漏洞来源
一个独立安全研究者,Steven Seeley,在Beyond Security的SSD项目中公布了这个漏洞。
厂商回应
从2017年十月8日起,我们就尝试着联系着金山公司,试图与其建立联系但没有得到回应。当前,这个漏洞没有任何解决方案。
漏洞细节
此漏洞允许本地攻击者在容易受感染的 Jungo WinDriver 上升级特权。
在处理 IOCTL 0x80030004 或 0x80030008 时,金山毒霸的kavfm.sys(反病毒)或KWatch3.sys(互联网安全)内核驱动程序中存在特定的缺陷。驱动程序没有正确验证用户提供的数据,这可能导致内核堆栈缓冲区溢出。
攻击者可利用此漏洞在内核环境下执行任意代码。
POC
受该漏洞影响的是金山毒霸9,目前国内金山毒霸版本已更新至11,国外版本更新情况不明。如有金山毒霸9或10版本用户,请及时升级杀毒软件,以免受到攻击。
领取专属 10元无门槛券
私享最新 技术干货