Win7/Win8.1曝嚴(yán)重內(nèi)核漏洞，殺毒軟件被終結(jié)

Win7之家（ afsion.com.cn）：Win7/Win8.1曝嚴(yán)重內(nèi)核漏洞，殺毒軟件被終結(jié)

昨天，微軟發(fā)布安全公告，提醒用戶注意IE零日攻擊。今天，國外安全機(jī)構(gòu)Bromium實(shí)驗(yàn)室發(fā)現(xiàn)當(dāng)前Windows 8.1存在舊版Windows內(nèi)核漏洞。借助該漏洞，黑客可以輕易越過第三方的殺毒軟件等產(chǎn)品，甚至禁用安全軟件驅(qū)動(dòng)組件。

這次安全實(shí)驗(yàn)室采用了LOL（層對層）攻擊方式，允許攻擊者越過所有安全軟件的多重防護(hù)。這項(xiàng)攻擊技術(shù)分別影響現(xiàn)有的沙箱技術(shù)、殺毒軟件、Rootkit掃描器、主機(jī)入侵防御系統(tǒng)HIPS、微軟EMET（Enhanced Mitigation Experience Toolkit）以及管理模式執(zhí)行保護(hù)（SMEP）等防護(hù)技術(shù)。

即使用戶安裝多個(gè)防護(hù)產(chǎn)品或者組合，黑客同樣可以通過該內(nèi)核漏洞越過或者禁用安全產(chǎn)品。

這次的攻擊方法利用了去年的EPATHOBJ Windows內(nèi)核漏洞，而該漏洞當(dāng)時(shí)并未引起足夠的注意。該漏洞將授予黑客系統(tǒng)全系，允許他們關(guān)閉或破壞當(dāng)前的系統(tǒng)安全，惡意程序?qū)⒏�任意放行�?/p>

更嚴(yán)重的是，這種攻擊方式從未曝光過。

據(jù)Bromium安全實(shí)驗(yàn)室介紹，不久將在歐洲信息安全中心和倫敦兩地展示相關(guān)的研究成果，演示如何利用該漏洞的完整攻擊過程。

雖然很多頂級(jí)安全專家一直主張使用分層安全技術(shù)，但仍存在弱點(diǎn)，比如所有的端點(diǎn)防護(hù)技術(shù)必須依賴一個(gè)完整的內(nèi)核。如果內(nèi)核出現(xiàn)漏洞，那外層的防護(hù)組件將淪為一個(gè)擺設(shè)。

Bromium實(shí)驗(yàn)室安全主管Rahul Kashyap也透露，去年年底很多人發(fā)現(xiàn)TDL4 rootkit工具可以利用Windows內(nèi)核漏洞，但很少人意識(shí)到這是一個(gè)嚴(yán)重安全漏洞。因此，當(dāng)時(shí)的判斷絕對是一個(gè)巨大錯(cuò)誤。

“我們也討論過這類內(nèi)核漏洞對于企業(yè)安全非常致命，并且這類安全隱患很長時(shí)間也不容易發(fā)現(xiàn)。利用簡單的'tweaking'漏洞，我們發(fā)現(xiàn)可以越過目前所有的企業(yè)或個(gè)人部署的安全產(chǎn)品。我們也相信在Windows內(nèi)核上百萬代碼中仍存在更多零日漏洞�！�

本文出處：Win8之家 - 《Win8.1曝嚴(yán)重內(nèi)核漏洞，殺毒軟件被終結(jié)》