警惕:多款殺毒軟件存在嚴(yán)重漏洞

對(duì)多款殺毒軟件和防火墻的SSDT Hook函數(shù)的參數(shù)驗(yàn)證不嚴(yán)。通過(guò)對(duì)多款殺毒軟件和防火墻的（BitDefender Antivirus [1], Comodo  Firewall [2], Sophos Antivirus [3]和瑞星殺毒軟件[4]）的SSDT hook 函數(shù)的粗略檢查發(fā)現(xiàn)可以導(dǎo)致拒絕服務(wù)（DOS），并可能執(zhí)行代碼攻擊。 攻擊者利用這些缺陷可以本地重啟系統(tǒng)，關(guān)閉防火墻和殺毒軟件保護(hù)。然 而，很多情況下它可能利用這些bug導(dǎo)致在特權(quán)內(nèi)核模式下執(zhí)行任意代碼 。

*報(bào)告信息*

標(biāo)題:對(duì)多款殺毒軟件和防火墻的SSDT Hook函數(shù)的參數(shù)驗(yàn)證不嚴(yán)
報(bào)告ID: CORE-2008-0320
報(bào)告URL: http://www.coresecurity.com/?action=item&id=2249
發(fā)布日期: 2008-04-28
最后更新日期: 2008-04-28
包含廠商: BitDefender, Comodo, Sophos和瑞星
發(fā)布模式: 協(xié)調(diào)發(fā)布(BitDefender, Comodo, Rising), 用戶發(fā)布 (Sophos)
*漏洞信息*

類別：無(wú)效內(nèi)存參數(shù)
可遠(yuǎn)程利用：否
可本地利用：是
Bugtraq ID：28741，28742，28743，28744
CVE 名稱：CVE-2008-1735, CVE-2008-1736, CVE-2008-1737, CVE-2008 -1738
*漏洞描述*

*漏洞影響版本*

. BitDefender Antivirus 2008 Build 11.0.11
. Comodo Firewall Pro 2.4.18.184
. Sophos Antivirus 7.0.5
. 瑞星殺毒軟件19.60.0.0 and 19.66.0.0
. 舊版本未測(cè)試，可能會(huì)被影響.

*不受影響的版本*

. BitDefender Antivirus 2008版本可以通過(guò)自動(dòng)更新更新至一月18號(hào)之 后的版本
. Comodo Firewall Pro 3.0
. 瑞星殺毒軟件20.38.20

*廠商信息，解決方案和其他*

1) BITDEFENDER ANTIVIRUS (BID 28741, CVE-2008-1735)

根據(jù)BitDefender的說(shuō)明，這個(gè)缺陷尚未被惡意程序利用，并且可通過(guò)自 動(dòng)更新修正。這一問(wèn)題的信息可以在BitDefender的網(wǎng)站上找到： http://kb.bitdefender.com/KB419-en–Security-vulnerability-in- BitDefender-2008.html
2) COMODO FIREWALL PRO (BID 28742, CVE-2008-1736)

這個(gè)漏洞在Comodo Firewall Pro 3.0中被修正，新版本在 http://www.personalfirewall.comodo.com/download_firewall.html下 載
3) SOPHOS ANTIVIRUS (BID 28743, CVE-2008-1737)

廠商聲明：“在windows 2000，2003和XP下的Sophos Anti-Virus 7.x將 會(huì)受此漏洞影響?！辈皇苡绊懙腟OPHOS產(chǎn)品包括早起的SOPHOS windows殺 毒軟件，SOPHOS飛windows平臺(tái)殺毒軟件和其他SOPHOS產(chǎn)品。

這個(gè)漏洞只有在實(shí)時(shí)行為分析開(kāi)啟狀態(tài)才可以利用。它需要用戶將web瀏 覽器的安全設(shè)置調(diào)整到默認(rèn)級(jí)別以下或者允許從網(wǎng)頁(yè)上啟動(dòng)ActiveX或 Java Applet。

可以使用以下方法避免漏洞被利用：

a. 使用默認(rèn)的安全設(shè)置或較高級(jí)別的最新版本W(wǎng)eb瀏覽器。作為通用的安 全管理，我們不建議用戶下載ActiveX或者Java Applets，除非你信任他 的內(nèi)容。

b. 關(guān)閉Sophos Anti-Virus的實(shí)時(shí)行為分析功能。（用戶仍會(huì)受到Sophos 行為遺傳分析和其他方式的對(duì)抗惡意軟件的保護(hù)手段的保護(hù)。）

N.B. 如果攻擊程序被放出，Sophos將會(huì)部署保護(hù)以對(duì)抗攻擊程序。

漏洞的修復(fù)需要用戶重新啟動(dòng)終端。鑒于為非緊急漏洞，為了盡量不打擾 我們的客戶，Sophos將會(huì)盡早的在一個(gè)需要重新啟動(dòng)的產(chǎn)品中包含這個(gè)修 正。
4) RISING ANTIVIRUS (BID 28744, CVE-2008-1738)

瑞星殺毒軟件的修正版可以在 http://rsdownload.rising.com.cn/for_down/rsfree/ravolusrfree.exe 下載。

所有的瑞星用戶都可以通過(guò)自動(dòng)更新更新到修補(bǔ)過(guò)的版本。

*榮譽(yù)歸功于*

這些漏洞（除了瑞星）是被Core Security Technologies的Damian  Saura, Anibal Sacco, Dario Menichelli, Norberto Kueffner, Andres  Blancoy Rodrigo Carvalho在bugweek 2007時(shí)發(fā)現(xiàn)的。瑞星漏洞是被Core
Security Technologies exploit writers team的Anibal Sacco發(fā)現(xiàn)的。

*技術(shù)描述/poc代碼*

我們發(fā)現(xiàn)BitDefender Antivirus, 瑞星殺毒軟件, Comodo
Firewall和Sophos Antivirus并沒(méi)有在使用hook函數(shù)時(shí)驗(yàn)證參數(shù)，導(dǎo)致程序試圖轉(zhuǎn)向無(wú)效內(nèi)存，導(dǎo)致BSOD（Blue Screen of Death）。

在我們的測(cè)試中，我們使用了內(nèi)核hook探測(cè)工具BSODhook [5]去尋找任何形式的未被充分驗(yàn)證的SSDT hook參數(shù)。從Matousec的文件[6]：

分析部分太長(zhǎng)無(wú)法貼出。參考：
http://www.scanw.com/blog/archives/162

新聞來(lái)源:CoreLabs Advisory(AYANAMI REI的翻譯)

百度一下(baidu.com)“殺毒軟件漏洞”，相關(guān)網(wǎng)頁(yè)多達(dá)3,380,000篇