【卡巴漏洞】在获取管理员最高权限（R3）后，卸载卡巴斯基

huang1111

0、申明
未经允许，禁止转载！

1、背景
在测试Beta程序的BUG时，意外产生灵感，产品程序安装包是否存在逻辑缺陷，从而绕过程序验证卸载程序

2、方法
在已安装程序的操作系统中，运行更高版本/其他类型（KFA、KTS等）安装包，安装程序进入运行状态，点击下一步，直到安装程序开始工作。
此时，操作系统中的程序将会自动关闭并开始卸载进程（仅需要R3层管理员权限，无视程序密码、无视程序第二次验证），就此，卡巴斯基在正常环境中被卸载。
安装程序会在重启后开始安装新版本，只要在重启前将安装程序关闭并删除，卡巴斯基会被彻底删除，不再留下任何驱动等残留。

3、复现视频：
可跳过当中环节，因为在虚拟机中运行，速度较慢。
https://pan.huang1111.cn/s/1NAUv

4、受影响版本：
卡巴斯基全部版本（包括Beta测试版）

5、后续：
于2021年1月31日向官方反馈，官方于2021年3月16日答复，称尽管作为程序漏洞，但他们认为危害不大，修复漏洞会影响程序部分功能，因此暂不考虑修复

6、危害：
由于官方不认为此操作会产生多大危害，因此我不再针对此漏洞严重程度做过多评论
但我认为，如果在骗取用户授权管理员权限/用户自身关闭此管理员权限验证时，卡巴斯基应用程序能被顺利关闭。其中，骗取用户授权其实非常容易，制作伪装程序即可，但我没有自身实践，如果有人有空闲时间，可以尝试，在我认为这不是不可行的方法。

7、结尾：
①使用原版系统（指Windows Media安装，非任何形式Ghost安装）
②不要听取某些自媒体人，抖音号等关闭管理员权限验证，这会让你的环境更加危险
③不要接受任何形式的未知软件

dg1vg4

不少盗版系统都是直接使用Admin账户登录的，因为自动运行一些激活程序等很方便，对于一些低配置设备也能加快响应速度。
而Admin账户下直接无视UAC就可以提权。

Wesly.Zhang

这种问题，任何软件安装都有。安装程序需要卸载旧版本，重启后自动安装新版本。

只要有这种操作的使用 windows installer 服务的程序都会执行这个操作。你中间结束了这个过程，自然不会后续的新程序安装。

温馨小屋

如果只有高版本的安装包才能实现的话，确实危险性不高，毕竟大多数人都用的最新版。

pal家族

Wesly.Zhang 发表于 2021-3-17 09:34
这种问题，任何软件安装都有。安装程序需要卸载旧版本，重启后自动安装新版本。

只要有这种操作的使用 w ...

可以考虑安装程序再卸载当前版本时需要提权，过uac之后再直接卸载老版本。
当然卸载程序卸载老版本前调用当前版本卡巴来弹窗验证也不靠谱、更不可取。

huang1111

Wesly.Zhang 发表于 2021-3-17 09:34
这种问题，任何软件安装都有。安装程序需要卸载旧版本，重启后自动安装新版本。

只要有这种操作的使用 w ...

在通常卸载产品中会进行程序内置卸载弹窗以询问用户（验证程序密码）
通过此方式直接可以跳过此步骤以达到卸载目的
此外，如果制作某个程序，让用户授权管理员权限后调用安装包卸载，不清楚是否可以达到卸载产品的目的，因为在这过程之中不再需要用户的二次确认

huang1111

温馨小屋 发表于 2021-3-17 13:52
如果只有高版本的安装包才能实现的话，确实危险性不高，毕竟大多数人都用的最新版。

不一定是高版本安装包
只要错位的安装包即可，比如系统环境中KIS，调用KFA安装包即可卸载

huang1111

pal家族 发表于 2021-3-17 14:27
可以考虑安装程序再卸载当前版本时需要提权，过uac之后再直接卸载老版本。
当然卸载程序卸载老版本前调 ...

程序内置密码在此过程直接无效了
而且如果制作程序，让用户授予管理员权限后，再次调用安装包貌似也不需要用户的确认，这时候卸载过程可以正常运行了就

yjwfdc

一两年前，我也用这个方法把火绒卸载了，火绒后来就修复了这个问题。

yaoyunjia

huang1111 发表于 2021-3-17 15:55
程序内置密码在此过程直接无效了
而且如果制作程序，让用户授予管理员权限后，再次调用安装包貌似 ...

这两天卡巴云不正常