预装恶意软件-火绒安全软件个人版针对恶意修改系统文件权限行为防护的漏洞
2023-06-13 09:16:23 时间
众所周知,系统为了防止胡乱对系统文件进行改动预装恶意软件,对不同的组或用户名对系统文件的权限进行了限制。
将所有系统文件的所有者都设置为NT \,并默认仅允许对系统文件读取和读取和执行,而没有允许完全控制、修改、写入和特殊权限。
有时,恶意程序为了更改系统文件,会先重新设置系统文件的权限。
360安全卫士在遇到这种情况,会弹出一个黄色的提示窗口,警告可能会有风险发生。然而,火绒安全软件个人版似乎对此风险行为的拦截存在漏洞。
为了简单地测试,我们使用一段简短的批处理脚本,模拟一个恶意程序试图修改C:\\cmd.exe的权限,以便之后对它进行某种更改。
@echo off
takeown /A /F C:\Windows\System32\cmd.exe
icacls C:\Windows\System32\cmd.exe /grant Administrators:F
echo 篡改权限完毕。
pause >nul
exit
使用管理员身份执行此批处理脚本。该脚本先更改了C:\\cmd.exe的所有者,以便之后可以对其权限进行编辑,获取更多的控制权限。之后,再赋予了管理员组对cmd.exe所有的权限。
执行后,火绒没有任何提示或反应,日志内也无任何记录。然而,我们在测试时却已开启了下图中高亮表示出的火绒自带系统加固 文件防护规则预装恶意软件,以及其它可能相关的规则。
很明显,这是火绒的一个疏漏。
目前,该问题已被反馈在火绒安全论坛上上。并且,之后,官方似乎也意识到了这个问题,对该漏洞设置了Bug ID 38826。
幸运的是,在官方将此漏洞修复前,我们并非束手无策。通过在火绒自定义规则中导入一个自定义规则,我们将能够阻止部分类似行为,但仅限于来自命令行的权限篡改行为。
本文共 507 个字数,平均阅读时长 ≈ 2分钟
相关文章
- 关于Apache Hadoop权限提升漏洞(CNVD-2022-51055)
- 苹果 iOS 的一 0day 漏洞售卖 5500 万元
- struts 2 漏洞学习总结
- Exchange CVE-2021-26855 RCE漏洞复现
- SSRF 漏洞记录
- 【漏洞预警】OpenSSH 权限提升漏洞
- WebLogic Console权限认证绕过漏洞(CVE-2020-14750)
- 漏洞复现- - -CVE-2016-5195 Dirty Cow脏牛提权漏洞
- 漏洞扫描 渗透测试_什么是渗透
- weblogic 权限绕过命令执行漏洞复现
- Linux sudo权限提升漏洞复现
- 【漏洞复现】通过Redis未授权访问漏洞获取权限
- 2022产业观察 | 漏洞武器化,成为勒索软件锋利的“矛”
- 思科爆出严重漏洞,更新补丁明年一月才能发布!
- 文件上传之.user.ini文件漏洞利用
- 格式化字符串漏洞分析与解题方法
- WordPress 插件 MailPoet 存漏洞可能致网站被黑
- 扫描Oracle数据库安全漏洞(扫描oracle安全漏洞)
- Linux系统安全:漏洞检测技术分析(linux漏洞检测)
- Project Zero:95.8% 的漏洞在截止日期来临之前得到修复
- 研究发现超过 40 个 Windows 设备驱动程序包含提升权限的漏洞
- Python urllib HTTP头注入漏洞
- 处理SUSE Linux非安全权限漏洞,运维的都知道!
- 漏洞预警:Zabbix高危SQL注入漏洞,可获取系统权限
- 漏洞mssql数据库的危险:爆路径漏洞破坏一切(mssql爆路径)
- mssql漏洞修复:安全护航(mssql漏洞修复6)
- mssql 注入漏洞的威胁危害及如何提升权限(mssql 注入 权限)