信息來源：FreeBuf

幾款常見的反病毒軟件中曝出存在一種可讓攻擊者利用隔離區(qū)來提升惡意軟件權(quán)限的問題，涉及的反病毒軟件廠商具體有趨勢科技、Emisoft、卡巴斯基，Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒軟件。其他廠商的反病毒軟件也有可能受到影響。

攻擊利用方法

攻擊者如果侵入了計算機系統(tǒng)，他們總是會想要提權(quán)來獲取機密數(shù)據(jù)，并自如地穿梭在網(wǎng)絡中之中。近日，信息安全審計員 Florian Bogner 發(fā)現(xiàn)了一種全新的提權(quán)方法：利用反病毒軟件的隔離區(qū)特性。這種攻擊方法 AVGater 的具體實現(xiàn)，組合利用了幾個反病毒軟件的設計漏洞和已知技巧。

按照 Bogner 的說法，這個攻擊首先使用惡意 DLL 文件放入防病毒軟件的隔離區(qū)。然后攻擊者可以利用安全軟件的 Windows 進程（SYSTEM權(quán)限）來修復這個文件。但畢竟是惡意文件，它并不會回到原始路徑下，而是能夠移動到操作系統(tǒng)的特權(quán)區(qū)域——比如 Program Files 或者 Windows 文件夾中——這樣這個惡意文件就不會被低權(quán)限的用戶處理掉。

一旦惡意 DLL 文件移動到了目標文件夾中，與該文件夾所關聯(lián)的 Windows 進程自然就會執(zhí)行相關的工作，惡意 DLL 就這樣會被執(zhí)行。

及時更新反病毒軟件產(chǎn)品

據(jù)了解，目前這個漏洞會影響趨勢科技、Emsisoft, 卡巴斯基,，Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒軟件。其他廠商的反病毒軟件也有可能受到影響（在修復程序放出之前并不會公開這些廠商的名字）。

想要了解具體的內(nèi)容，可以參考 Bogner 發(fā)布的兩篇博客：他針對這個問題分別為 Emsisoft 以及 Malwarebytes 廠商的反病毒軟件進行了剖析。你可以看到他是如何從攻擊者視角進行分析，放置惡意DLL文件和提權(quán)。

所以說，安全產(chǎn)品也和其他軟件產(chǎn)品一樣，都會存在漏洞和問題，可能被其他目的的人利用。