安全研究员披露金山毒霸(kdhacker64_ev.sys)与360安全卫士(DsArk64.sys)的内核驱动存在高危漏洞:金山驱动因缓冲区分配错误导致1160字节写入584字节触发512字节内核池溢出,可被利用获得SYSTEM权限;360驱动通过IOCTL接受进程ID并在Ring0调用ZwTerminateProcess,能强制终止任意进程并绕过PPL。两驱动均带有签名(EV/WHQL),且360驱动的内核读写功能使用AES-128-CBC且密钥硬编码于.data段(所有版本通用),攻击者可在无需安装软件的情况下加载恶意载荷并实现提权、KASLR绕过、内核凭据窃取及回调表篡改。相关条目已提交至LOLDrivers,尚无CVE编号。
4 月 14 日消息,安全研究人员 Patrick Saif(@weezerOSINT)昨日(4 月 13 日)在 X 平台发布推文,披露金山毒霸与 360 安全卫士两款主流杀毒软件的内核驱动存在高危漏洞。
金山毒霸的 kdhacker64_ev.sys 驱动在处理用户输入后,分配的缓冲区大小仅为所需的一半,导致 1160 字节数据写入 584 字节空间,直接引发 512 字节的内核池溢出。该驱动拥有有效的 EV 签名,攻击者可利用此漏洞完全控制系统。
360 安全卫士的 DsArk64.sys 驱动允许通过 IOCTL 接口传入 4 字节进程 ID,并在 Ring 0 层级调用 ZwTerminateProcess 强制终止任意进程,甚至能绕过 PPL(受保护进程)机制。
更严重的是,其内核读写功能使用 AES-128-CBC 算法,让解密密钥硬编码在二进制文件的.data 段中,且所有版本使用同一密钥,且该驱动通过了 WHQL 签名认证。
目前两个漏洞已提交至 LOLDrivers 数据库,均未获 CVE 编号且不在 HVCI 屏蔽名单中。攻击者利用这些漏洞可从普通用户提权至 SYSTEM,绕过 KASLR 并窃取内核凭据,甚至修改内核回调表隐藏恶意行为。鉴于涉事驱动具备 EV 或 WHQL 签名,攻击者无需在目标机器安装软件即可加载恶意载荷。
IT之家附上参考地址
- @weezerOSINT的X 推文
- Vulnerable Driver: kdhacker64_ev.sys (Kingsoft AntiVirus)
- Add DsArk64.sys / DsArk.sys -- Qihoo 360 Total Security -- Kernel Process Kill, Kernel R/W (WHQL signed)