查看: 50158|回复: 75
收起左侧

[技术原创] 火绒工程师,喷叔喊你修提权漏洞

  [复制链接]
kfne12
头像被屏蔽
发表于 2020-2-20 16:57:15 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2020-2-21 12:22 编辑

这两天喷叔在360区开喷,喷360卫士记录隐私.

结果帖子里zay365说火绒做的好。文件选择框是自己写的,有效规避提权什么的。。


我喷叔800年前装过一次火绒,发现不能设置不启动,不到1分钟就删了。

这次看火绒在kafan如此受推崇,就像捣鼓捣鼓看,看看火绒是不是网友吹得那么牛叉。

结果装上后,一看傻逼了。和360半斤八两,也是个瞎姬拔乱搞的隐私记录器。不过比360强一点。

360是向所有帐户果断展示我admin下载过什么小电影和网址。火绒只是在programdata文件夹记录所有的运行过什么程序,当然所有账户都能看到。。

------------------

先不说隐私了,既然kafan网友说,火绒有效规避提权,那我就看看是不是这样的。

既然叔也不会编程,那就手动提权试试。。

结果验证验证弱爆了。


我想了30秒就想出一个提权思路。。测试有效。。



普通账户创建一个链接文件夹haha

junction链接到管理员帐户adminsuper的启动文件夹。


修改火绒设置:设置为监控:执行时扫描。提示用户而不是自动处理

修改扫描设置:提示用户而不是自动处理


随便找个火绒查的出来的木马a.exe扫一下。火绒跳出界面,提示扫出木马。

在此时,我们手动把a.exe换成自己精心准备好的火绒查不出的木马,仍然命名为a.exe。


然后点击火绒处理。

火绒像个傻子一样,就把这个掉包过的a.exe隔离了。




打开火绒隔离区,点提取,提取这个a.exe到haha文件夹。实际上也就提取到了管理员帐户adminsuper的启动文件夹


登录adminsuper,木马成功启动,火绒因为扫描不出来,所以没反应。。


这里火绒至少有两个问题。

1.普通账户下,允许用户进程和system用户下的火绒的服务进程交互(或者是和驱动交互?我不懂编程,我只是猜猜。说错勿喷)

2.隔离文件时不检查。。

这尼玛就是kafan网友推崇至极的火绒。。
哈哈。。。

评分

参与人数 2人气 +6 收起 理由
zay365 + 3 精品文章
jumgg265 + 3 感谢解答: )

查看全部评分

zay365
头像被屏蔽
发表于 2020-2-20 17:13:44 | 显示全部楼层
几年前看到过百度杀毒存在差不多的问题,被特殊路径欺骗把一个文件当成另一个
我从别处看到说火绒是利用了一些特殊的方法(用某人的话来说是猥琐的方法)来实现监测System的行为的,但被人发现过漏洞,还被人白利用过,用来做外{过}{滤}挂的组件
不得不说一方面楼主还是有水平的,另一方面楼主的确是真能喷
名字无所谓
发表于 2020-2-20 17:17:15 | 显示全部楼层
本帖最后由 名字无所谓 于 2020-2-20 17:21 编辑

有些人不知道哪看的黑稿节奏被带的飞起,觉得360有问题其他的一定可信。遇360就瞎喷一通说其他的多好多好
kfne12
头像被屏蔽
 楼主| 发表于 2020-2-20 17:28:27 | 显示全部楼层
zay365 发表于 2020-2-20 17:13
几年前看到过百度杀毒存在差不多的问题,被特殊路径欺骗把一个文件当成另一个
我从别处看到说火绒是利用了 ...

水平真没有。但是在不会编程的人里面安全意识还是可以的。。想的比较多。

喷的话,没办法,我这个人喜欢哗众取宠,改不掉了。。。。
火绒工程师
发表于 2020-2-20 17:37:01 | 显示全部楼层
楼主您好,关于您说的火绒记录用户隐私行为,我们这边称之为“用户体验计划”具体详情您可以参考一下这个帖子
http://bbs.huorong.cn/thread-47031-1-1.html  如果您这边不能接受的话,可以手动取消勾选的(如图所示)

对于您提出的问题,我们这边本地确认一下,感谢您的反馈~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zay365
头像被屏蔽
发表于 2020-2-20 17:39:33 | 显示全部楼层
楼主我说明下,我只是在这一点上支持火绒的,因为之前有人向他们反馈过那个问题后,他们马上就改了,不像其他的杀软厂商早就知道了这个问题但一直都不管
火绒的工程师在有几个问题上也是很倔强,就不改的,卡饭的某火绒粉丝也在骂他
而且我也是不喜欢不能设置不启动这一点的
火绒我也发现过几个问题,但360在那些方面就做得比它好,不存在
还有楼主,我是不支持“端起碗吃肉,放下筷子骂娘”的行为的
不过同样是骂,对自己喜爱的和厌恶的事物的感觉是明显不同的
huicuan
发表于 2020-2-20 17:43:48 来自手机 | 显示全部楼层
那你弄弄微点我们看看
kfne12
头像被屏蔽
 楼主| 发表于 2020-2-20 18:05:41 | 显示全部楼层
火绒工程师 发表于 2020-2-20 17:37
楼主您好,关于您说的火绒记录用户隐私行为,我们这边称之为“用户体验计划”具体详情您可以参考一下这个帖 ...

你没看懂我说的隐私是什么意思。。

不是你说的那个网络隐私
wingsla
发表于 2020-2-20 18:10:36 | 显示全部楼层
都这个样子,半斤八两罢了。
电脑发烧友
发表于 2020-2-20 18:49:24 | 显示全部楼层
本帖最后由 电脑发烧友 于 2020-2-20 18:51 编辑

       提前说明一下,我对火绒的态度是比较中立的,认为它轻巧,没有广告和捆绑,同时火绒给我的安全感也不够。我想站在中立的角度来讨论一下LZ帖子中关于火绒的内容。
       以下内容为个人观点,如认为有错误的地方,欢迎讨论。

个人观点:这个BUG叫做“提权漏洞”有失偏颇,叫做“低风险漏洞”我认为也需要考虑一下,可以算是一个小瑕疵吧。

LZ的内容总结一下可以描述为:
  • 隔离文件时不检查(照搬原话)。
  • 可以在标准账户下操作管理员账户的某些文件。

先看第一点:
  • 触发条件:启动扫描,原文件被报毒,新文件不会被报毒,在用被隔离前完成替换。
  • 利用难度:很高,因为触发条件要达成太难了,而且启动扫描只能由用户来做,就算是模拟点击来做也难以在用户不发觉的情况下完成。
  • 其它:按照LZ的描述如果实时监控也不验证而且不是自动处理的话也是可以达到类类似的效果的,我冒出过一个想法,用一个免杀的释放器释放原文件,之后再替换为新文件。但是马上被否定了,因为你无法确定当前设置的火绒是自动处理还是弹窗提示。而且无法做到弹出提示窗口的同时替换文件且保证用户没有点击隔离,因为无法确定何时会弹出提示窗口(如果火绒对提示窗口做了对应的防护的话)

再看第二点:
  • 触发条件:从隔离区恢复特定的文件到特定的文件夹。
  • 利用难度:非常高,因为达成第一点已经是难上加难了,而第二点几乎不可能由程序自动完成且不被用户发现,所以难度非常高。


       可以看到,上述两点同时实现的难度极高,基本都需要用户参与。模拟点击则需要冒着被用户发现的风险,而且风险极大。当然如果骗子告诉用户出现“模拟点击”的情况很正常也许可以骗过一部分人,但是如果这都能骗过的话直接骗用户关掉杀软不是更好?而且既然骗子已经可以免杀病毒了,明显发一个免杀的病毒过去更方便。

       总结一下,这个BUG叫做“提权漏洞”有失偏颇,叫做“低风险漏洞”我认为也需要考虑一下,可以是一个小瑕疵吧。修复起来也很简单,隔离前验证HASH即可,或者像某些杀软一样,扫描到就先锁定,不允许对文件做任何操作。

评分

参与人数 3人气 +7 收起 理由
curfew + 1 版区有你更精彩: )
wwc93 + 3 很给力!
windows7爱好者 + 3 版区有你更精彩: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 02:36 , Processed in 0.126605 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表