金山毒霸、360 欧交易所app官网入口安全卫士被曝存在内核驱动高危漏洞

IT之家 4 月 14 日消息，金山安全研究人员 Patrick Saif（@weezerOSINT）昨日（4 月 13 日）在 X 平台发布推文，毒霸动高洞披露金山毒霸与 360 安全卫士两款主流杀毒软件的安全欧交易所app官网入口内核驱动存在高危漏洞。

金山毒霸的卫士危漏 kdhacker64_ev.sys 驱动在处理用户输入后，分配的被曝缓冲区大小仅为所需的一半，导致 1160 字节数据写入 584 字节空间，存内直接引发 512 字节的核驱内核池溢出。该驱动拥有有效的金山 EV 签名，攻击者可利用此漏洞完全控制系统。毒霸动高洞

360 安全卫士的安全欧交易所app官网入口 DsArk64.sys 驱动允许通过 IOCTL 接口传入 4 字节进程 ID，并在 Ring 0 层级调用 ZwTerminateProcess 强制终止任意进程，卫士危漏甚至能绕过 PPL（受保护进程）机制。被曝

更严重的存内是，其内核读写功能使用 AES-128-CBC 算法，核驱让解密密钥硬编码在二进制文件的金山.data 段中，且所有版本使用同一密钥，且该驱动通过了 WHQL 签名认证。

目前两个漏洞已提交至 LOLDrivers 数据库，均未获 CVE 编号且不在 HVCI 屏蔽名单中。攻击者利用这些漏洞可从普通用户提权至 SYSTEM，绕过 KASLR 并窃取内核凭据，甚至修改内核回调表隐藏恶意行为。鉴于涉事驱动具备 EV 或 WHQL 签名，攻击者无需在目标机器安装软件即可加载恶意载荷。

IT之家附上参考地址

很赞哦!（914）