AVGater漏洞可能会滥用防病毒隔离区来感染您的系

　　您相信您的防病毒软件可以保护您的PC免受恶意攻击，如果防病毒隔离功能本身受到损害会怎样。最近的一项调查显示，当地攻击者滥用了多种防病毒产品的恶意软件隔离功能，以获得PC上的管理权限。

　　这个被称为AVGater的漏洞被安全公司Kapsch的研究员Florian Bogner发现。AVGater利用用户恢复防病毒程序已移至隔离文件夹的可疑文件的能力。

　　Bogner演示了一种方法，可以欺骗防病毒程序将隔离文件恢复到原始位置以外的不同目录。然后可以将隔离的文件移动到主机系统上的任何隐藏位置，从而将要重新引入PC的恶意软件铺平。

　　博格纳说，解释这个漏洞，

　　AVGater可用于将先前隔离的文件还原到任意文件系统位置。这是可能的，因为还原过程通常由特权AV Windos用户模式服务执行。，可以规避文件系统ACL(因为它们实际上并不计入SYSTEM用户)。此类问题称为特权文件写入漏洞，可用于将恶意DLL放置在系统的任何位置。目标是通过滥用DLL搜索顺序为合法的Windos服务器加载此库。

　　AVGater的序列分5个步骤滥用防病毒隔离功能

　　AVGater的攻击顺序可归纳为以下五个步骤，

　　非管理员攻击者将恶意库移动到反病毒隔离区

　　然后，攻击者可以使用NTFS的目录连接功能创建一个符号链接，将原始目录映射到C\ Windos或其他系统文件夹

　　普通用户没有写入敏感系统文件夹的权限，但防病毒产品会执行，因为它们以系统权限运行。通过恢复以前隔离的文件，攻击者现在滥用AV Windos用户模式服务的PC权限，并将恶意库放在当前登录用户无法写入的正常条件下的文件夹中

　　DLL搜索顺序的默认功能允许许多应用程序通过按特定顺序在系统上的不同位置搜索它们来加载它们的库。，如果攻击者将类似命名的库放置在搜索路径中先前检查的位置，则目标应用程序将在合法的库之前加载它。，执行恶意库的DLLMain内的代码

　　攻击者可以完全控制受影响的端点

　　根据Bogner的说法，防病毒供应商，即趋势科技，卡巴斯基实验室，Check Point，Emsisoft，Malarebytes和Ikarus已经发布了修复程序，很快其他受影响的供应商也可能会效仿。顺便说一句，Windos Defender不受此漏洞的影响/

　　虽然银色衬里

　　虽然AVGater是致命的，但它有一个弱点。它只能由可以访问PC的攻击者执行。这有效地排除了这种恶意软件通过黑客入侵网络的大规模传播。

　　，只有在允许用户恢复以前隔离的文件时才能加载AVGator，阻止普通用户恢复已识别的威胁可以轻松防止感染。