站長資訊平臺

卡巴斯基驚現(xiàn)嚴重漏洞系統(tǒng)會藍屏崩潰

2018-06-11 來源：

國外著名Rootkit研究站點rootkit.com上發(fā)表了一篇文章: "Exploiting Kaspersky Antivirus 6.0-7.0" 作者為EP_XOFF/UG North,是著名的反Rootkit工具Rootkit Unhooker,Process walker的開發(fā)者。文章稱，卡巴斯基反病毒軟件從6.0到目前最新的7.0版中始終存在這一個嚴重的漏洞。該漏洞最早由MS-Rem發(fā)現(xiàn)，安裝了卡巴斯基反病毒軟件后，任何具有最低用戶權限的用戶也可以使系統(tǒng)藍屏崩潰，該漏洞主要存在與卡巴斯基反病毒軟件用于掛鉤SSDT NtOpenProcess的代碼中，該段代碼用于阻止其他程序打開卡巴斯基的自身進程，以達到自我保護的目的。在該函數(shù)中，卡巴斯基反病毒軟件的驅(qū)動程序沒有對用戶傳入的參數(shù)做嚴格檢查，導致只要在調(diào)用NtOpenProcess時傳入錯誤的參數(shù)，即可使系統(tǒng)訪問錯誤的內(nèi)核地址，從而導致系統(tǒng)藍屏崩潰。

　　作者聲稱他們早在數(shù)年前就發(fā)現(xiàn)了該漏洞并提交給卡巴斯基，但是被卡巴斯基忽略了另外，卡巴斯基在新版中加入了異常處理機制來試圖解決這一問題，作者稱這是無法完全解決問題的，顯然卡巴斯基的開發(fā)人員根本不知道使用一個非常簡單的函數(shù)：MMIsADDRessValid就可以解決這個問題。

　　另外作者稱，同樣的漏洞還存在與卡巴斯基掛鉤的多個函數(shù)中，包括

NtCreateKey NtCreateProcess

NtCreateProcessEx

NtCreateSection

NtCreateSymbolicLinkObject

NtCreateThread

NtDeleteValueKey

NtOpenKey

NtLoadKey2

NtOpenSection

NtQueryValueKey 所有這些函數(shù)都有問題。

　　下面這個網(wǎng)址介紹了關于卡巴斯基的漏洞及錯誤之處，包括