60安全卫士内核驱动曝高危漏洞
金山毒霸与360安全卫士内核驱动曝高危漏洞安全研究人员Patrick Saif昨日在 X 平台发布推文,披露金山毒霸与 360 安全卫士两款主流杀毒软件的内核驱动存在高危漏洞。金山毒霸的kdhacker64_ev.sys驱动在处理用户输入后,分配的缓冲区大小仅为所需的一半,导致 1160 字节数据写入 584 字节空间,直接引发 512 字节的内核池溢出。该驱动拥有有效的EV签名,攻击者可利用此漏洞完全控制系统。360 安全卫士的 DsArk64.sys 驱动允许通过IOCTL接口传入4字节进程ID,并在 Ring 0 层级调用 ZwTerminateProcess 强制终止任意进程,甚至能绕过PPL机制。
https://k.sina.cn/article_1642634100_61e89b7404001mqik.html?
您好,经核实,相关报道引用的技术分析与事实不符。360安全卫士不存在其所称的漏洞,请大家放心使用。报道中提到的驱动功能,是用于查杀顽固病毒木马的手段,这个功能只有具有管理员权限且有360签名的进程才能使用,所谓“可被利用窃取凭据”的说法纯属臆测,与实际情况完全不符 git上的原话是:
1. if 360 is installed, no injection is needed at all
1. 如果安装了 360,根本不需要注入
the driver has two auth paths. from ghidra:
该驱动程序有两个认证路径。根据 ghidra:
Auth_360SelfProtOrSigningCheck @ 0x23c54
RtlInitUnicodeString(&str, L"\\Device\\360SelfProtection")
IoGetDeviceObjectPointer(&str, ...)
if success:
IoBuildDeviceIoControlRequest(0x222014, ...)
IofCallDriver(...)
if (result != STATUS_INVALID_DEVICE_REQUEST):
return true <-- no signing check
// fallback
return Auth_Fallback_VerifyProcessSignature()
if \Device\360SelfProtection exists and responds to IOCTL 0x222014, the custom Authenticode check is skipped entirely. on any machine with 360 installed (which is the point of BYOVD -- the driver is bundled with 360), device open works directly from any admin process. no hollowing. no injection. just CreateFileW and DeviceIoControl.
如果 \Device\360SelfProtection 存在且响应 IOCTL 0x222014,则完全跳过自定义的 Authenticode 检查。在任何安装了 360 的机器上(这也是 BYOVD 的目的——驱动程序随 360 捆绑),设备打开可以直接从任何管理员进程进行。没有空洞化。没有注入。只是 CreateFileW 和 DeviceIoControl。
the injection path only matters when the attacker brings the driver to a machine without 360. that is a valid scenario, but the argument assumes the injection step is always required. it is not.
注入路径只有在攻击者将驱动程序带到没有 360 的机器时才重要。这是一个有效的场景,但该论点假设注入步骤总是必要的。并非如此。
签名日期是2024的,漏洞是LOLDrivers入库的,结果在社媒上除了带节奏说人家用的是老版和单方面说消息不实之外,回应了个寂寞
页:
[1]