倫敦安全會議談LOL、Win8.1內(nèi)核漏洞

今天凌晨，國外Bromium安全實驗室發(fā)現(xiàn)Windows 8.1存在舊版Windows內(nèi)核漏洞。利用該漏洞，黑客可以輕易越過第三方殺毒軟件產(chǎn)品，甚至禁用安全軟件。今天，Bromium官方博客也證實該漏洞，計劃在倫敦安全會議上解密。

來自Bromium安全實驗室Rafal Wojtczuk在博客中寫道，“本周，我將親赴倫敦安全會議（BSides London）。本次會議主題為LOL層對層：越過端點防護（Layers on layers：bypassing endpoint protection）?！?/span>

“這次安全會議主要目的是重申市面上主流的端點保護安全產(chǎn)品共同缺陷，即過于依賴一個完整性Windows內(nèi)核。一旦攻擊者獲得各類內(nèi)核執(zhí)行代碼，這也意味著攻擊者可以任意纂改依賴Windows內(nèi)核的安全軟件，當然也可以禁用這些產(chǎn)品?！?/span>

“特別強調(diào)，本次我將使用一個定制版內(nèi)核有效載荷，提高對EPATHOBJ漏洞的利用，完成這次攻擊演示。一般而言，該漏洞可以破壞大多數(shù)的安全產(chǎn)品。即使你安裝多個產(chǎn)品用于分層防護，同樣也可能被該漏洞越過。如果這些安全產(chǎn)品全部依賴完整內(nèi)核，那么單一的內(nèi)核漏洞足以帶來風險?！?/span>

在本次的安全會議上，Bromium安全實驗室還將討論各類分層保護的安全技術，然后使用定制的內(nèi)核漏洞，最終越過這些產(chǎn)品。參與測試的安全技術，包括反病毒、沙箱應用技術、內(nèi)核Rootkit掃描器、主機入侵防御系統(tǒng)HIPS、微軟EMET（Enhanced Mitigation Experience Toolkit）以及英特爾高級模式執(zhí)行保護（SMEP）等技術。

另外，Rafal Wojtczuk也談到會議最大的亮點，即使用另外一種技術手段便捷越過英特爾SMEP防護，然后概述如何將執(zhí)行代碼注入Windows內(nèi)核的用戶模式進程中。

注：受影響的內(nèi)核涉及所有Windows版本，包括大家最關心的Windows 8.1平臺。

本文出處：Win8之家 - 《倫敦安全會議：揭秘Win8.1嚴重內(nèi)核漏洞》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。