柳州西久电脑网(http://www.it0772.com):伦敦安全会议谈LOL、Win8.1内核漏洞
今天凌晨,国外Bromium安全实验室发现Windows 8.1存在旧版Windows内核漏洞。利用该漏洞,黑客可以轻易越过第三方杀毒软件产品,甚至禁用安全软件。今天,Bromium官方博客也证实该漏洞,计划在伦敦安全会议上解密。
来自Bromium安全实验室Rafal Wojtczuk在博客中写道,“本周,我将亲赴伦敦安全会议(BSides London)。本次会议主题为LOL层对层:越过端点防护(Layers on layers:bypassing endpoint protection)。”
“这次安全会议主要目的是重申市面上主流的端点保护安全产品共同缺陷,即过于依赖一个完整性Windows内核。一旦攻击者获得各类内核执行代码,这也意味着攻击者可以任意纂改依赖Windows内核的安全软件,当然也可以禁用这些产品。”
“特别强调,本次我将使用一个定制版内核有效载荷,提高对EPATHOBJ漏洞的利用,完成这次攻击演示。一般而言,该漏洞可以破坏大多数的安全产品。即使你安装多个产品用于分层防护,同样也可能被该漏洞越过。如果这些安全产品全部依赖完整内核,那么单一的内核漏洞足以带来风险。”
在本次的安全会议上,Bromium安全实验室还将讨论各类分层保护的安全技术,然后使用定制的内核漏洞,最终越过这些产品。参与测试的安全技术,包括反病毒、沙箱应用技术、内核Rootkit扫描器、主机入侵防御系统HIPS、微软EMET(Enhanced Mitigation Experience Toolkit)以及英特尔高级模式执行保护(SMEP)等技术。
另外,Rafal Wojtczuk也谈到会议最大的亮点,即使用另外一种技术手段便捷越过英特尔SMEP防护,然后概述如何将执行代码注入Windows内核的用户模式进程中。
注:受影响的内核涉及所有Windows版本,包括大家最关心的Windows 8.1平台。
评论列表