卡巴斯基和趋势科技安全产品的DLL劫持漏洞

近期，SafeBreach的安全研究人员发现了卡巴斯基Secure Connection、趋势科技Maximum Security和Autodesk桌面应用的DLL劫持漏洞。攻击者可以利用这些漏洞进行DLL预加载、命令执行和非法提权。

第一个漏洞出现在卡巴斯基Secure Connection（KSDE）的VPN客户端，被标记为CVE-2019-15689，攻击者可以利用其植入并运行任意无签名的可执行文件。

SafeBreach的研究人员在过去几个月里也曾发现了类似的DLL劫持漏洞，主要涉及McAfee、赛门铁克、Avast和Avira的安全解决方案。总结来说，就是这些安全解决方案试图加载一些默认不存在的库，从而让攻击者通过主动放置恶意的同名库来进行攻击。

在上述情况下，程序进程几乎都没有针对加载的DLL进行任何签名验证。

研究人员表示，KSDE是一个已被签名的服务，它会在系统启动时自动启动，以SYSTEM权限运行。该服务会试图加载多个不存在的DLL，而具有管理权限的攻击者可以用自己的恶意DLL进行替代，利用ksde.exe以SYSTEM权限加载恶意DLL。

此外，进程仅使用文件名而不是绝对路径进行加载，最终攻击者可以在已签名的卡巴斯基进程中执行任意代码。

根据安全报告的说法：“攻击者可能会在渗透成功后的持续控制阶段利用这个漏洞，以ksde.exe的身份执行任意代码，规避安全防御，保证持久性。”

研究人员利用ckahum.dll编译一个x86无签名的DLL文件来测试这个漏洞，这个DLL会写下加载它的进程名称、执行它的用户名和DLL文件的名称。然后将其放入C:\Windows\SysWow64\Wbem，重启电脑：

专家们还发现了一个类似的漏洞（涉及Autodesk），被标记为CVE-2019-7365，它会试图从PATH环境变量的不同目录加载不存在的DLL文件。

“可以使用此漏洞将任意未签名的DLL加载到以NT AUTHORITY\SYSTEM权限运行的服务中，从而实现非法提权和持久控制。”

最后还有一个影响趋势科技Maximum Security的DLL劫持漏洞，被标记为CVE-2019-15628。这个漏洞也可以被利用来规避防御，持久控制。并在某些情况下将任意无签名的DLL加载到多个高权限运行的服务中。

该软件的某些部分是以非PPL（进程保护技术）的进程运行的，因此攻击者可加载未签名的代码，因为CIG（代码完整性保护）机制并不存在。

它也会从PATH环境变量的不同目录加载不存在的DLL文件。普通权限用户即可通过植入恶意DLL文件进行攻击，以NT AUTHORITY\SYSTEM权限执行任意代码。

“我们在虚拟机上安装了Python 2.7。而c:\python27存在一个ACL，允许任何身份经过验证的用户将文件写入。这使得非法权限非常简单，普通用户插入恶意DLL文件即可以NT AUTHORITY\SYSTEM权限执行任意代码。”

SafeBreach已在7月份向相关公司报告了这些漏洞，并针对这些漏洞发布了安全预警。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场

来源：Google对外公开有国家背景的钓鱼攻击数据|NOSEC安全讯息平台 - 白帽汇安全研究院

原文：https://securityaffairs.co/wordpress/94658/hacking/dll-hijacking-kaspersky-trend-micro.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。