360安全衛(wèi)士被曝“本地提權(quán)”后門數(shù)月未修復(fù)
2010-02-02 10:59:262月1日,有網(wǎng)友在百度知道搜索發(fā)現(xiàn),奇虎360安全衛(wèi)士存在本地提權(quán)后門,經(jīng)瑞星互聯(lián)網(wǎng)攻防實驗室驗證確認(rèn),該后門確實存在,并影響360安全衛(wèi)士全部版本。該后門在2009年11月曝出后,在長達(dá)3個月的時間內(nèi),奇虎360未作出任何反應(yīng)。據(jù)專家分析,該后門與近期被炒作的“瑞星漏洞”同屬于本地提權(quán)后門范圍。
而波蘭安全組織NT Internals在網(wǎng)頁上也確認(rèn)了此后門,而且用紅字標(biāo)出奇虎360 的公司名稱(http://www.ntinternals.org/advisory.php)。據(jù)專家介紹,該漏洞與“瑞星漏洞”性質(zhì)相似,均屬于本地提權(quán)后門,由于本地提權(quán)后門只能在用戶本地執(zhí)行,所以黑客應(yīng)用后門進(jìn)行攻擊的范圍將受到很大限制,到目前為止還未出現(xiàn)實際攻擊案例。
(2月2日18時,瑞星公司發(fā)現(xiàn),該國外組織已經(jīng)去掉了奇虎公司的網(wǎng)址,鑒于國內(nèi)多個媒體遭到奇虎360的壓力,該組織此舉或許迫于360壓力而撤除。)
由于360后門會使黑客任意修改注冊表,所以不排除被黑客開后門,進(jìn)一步利用的可能性。此后門與“瑞星漏洞”相比,影響的后果將更加嚴(yán)重。
瑞星公司呼吁,相關(guān)安全廠商應(yīng)摒棄不正當(dāng)?shù)氖袌龈偁幨侄危苊鈱⒁郧傲髅ゲ寮盒愿偁幍姆绞揭氲桨踩浖袌鲋校鹬赜脩舻闹闄?quán),尊重媒體的正當(dāng)報道權(quán),不要利用惡意歪曲事實的方式來贏得媒體注意力,吸引用戶眼球。
后門涉及360安全衛(wèi)士的兩個核心文件:bregdrv.sys和bregdll.dll,這兩個文件是360安全衛(wèi)士為繞過其他殺毒軟件和操作系統(tǒng)的安全監(jiān)控機(jī)制,在用戶電腦中安裝的可以任意修改注冊表的“后門程序”。理論上,由于漏洞運(yùn)行在系統(tǒng)最高權(quán)限級,并且360沒有對后門調(diào)用者進(jìn)行任何安全性檢查,從而導(dǎo)致黑客可以利用任意方式進(jìn)行攻擊,包括各類木馬病毒、蠕蟲病毒和感染型病毒。