據IT之家報導,昨天,微軟發佈安全公告,提醒用戶注意IE零日攻擊。今天,國外安全機構Bromium實驗室發現當前Windows 8.1存在舊版Windows內核漏洞。借助該漏洞,黑客可以輕易越過第三方的殺毒軟件等產品,甚至禁用安全軟件驅動組件。
這次安全實驗室採用了LOL(層對層)攻擊方式,允許攻擊者越過所有安全軟件的多重防護。這項攻擊技術分別影響現有的沙箱技術、殺毒軟件、 Rootkit掃瞄器、主機入侵防禦系統HIPS、微軟EMET(Enhanced Mitigation Experience Toolkit)以及管理模式執行保護(SMEP)等防護技術。
即使用戶安裝多個防護產品或者組合,黑客同樣可以通過該內核漏洞越過或者禁用安全產品。
這次的攻擊方法利用了去年的EPATHOBJ Windows內核漏洞,而該漏洞當時並未引起足夠的注意。該漏洞將授予黑客系統全系,允許他們關閉或破壞當前的系統安全,惡意程序將更任意放行。
更嚴重的是,這種攻擊方式從未曝光過。
據Bromium安全實驗室介紹,不久將在歐洲信息安全中心和倫敦兩地展示相關的研究成果,演示如何利用該漏洞的完整攻擊過程。
雖然很多頂級安全專家一直主張使用分層安全技術,但仍存在弱點,比如所有的端點防護技術必須依賴一個完整的內核。如果內核出現漏洞,那外層的防護組件將淪為一個擺設。
Bromium實驗室安全主管Rahul Kashyap也透露,去年年底很多人發現TDL4 rootkit工具可以利用Windows內核漏洞,但很少人意識到這是一個嚴重安全漏洞。因此,當時的判斷絕對是一個巨大錯誤。
「我們也討論過這類內核漏洞對於企業安全非常致命,並且這類安全隱患很長時間也不容易發現。利用簡單的'tweaking'漏洞,我們發現可以越過目前所有的企業或個人部署的安全產品。我們也相信在Windows內核上百萬代碼中仍存在更多零日漏洞。」
沒有留言:
發佈留言