搜索
查看: 4865|回复: 22
收起左侧

[展示&分享] 【卡巴漏洞】在获取管理员最高权限(R3)后,卸载卡巴斯基

[复制链接]
huang1111
发表于 2021-3-16 19:47:18 | 显示全部楼层 |阅读模式

0、申明
未经允许,禁止转载!

1、背景
在测试Beta程序的BUG时,意外产生灵感,产品程序安装包是否存在逻辑缺陷,从而绕过程序验证卸载程序

2、方法
在已安装程序的操作系统中,运行更高版本/其他类型(KFA、KTS等)安装包,安装程序进入运行状态,点击下一步,直到安装程序开始工作。
此时,操作系统中的程序将会自动关闭并开始卸载进程(仅需要R3层管理员权限,无视程序密码、无视程序第二次验证),就此,卡巴斯基在正常环境中被卸载。
安装程序会在重启后开始安装新版本,只要在重启前将安装程序关闭并删除,卡巴斯基会被彻底删除,不再留下任何驱动等残留。

3、复现视频:
可跳过当中环节,因为在虚拟机中运行,速度较慢。
https://pan.huang1111.cn/s/1NAUv

4、受影响版本:
卡巴斯基全部版本(包括Beta测试版)

5、后续:
于2021年1月31日向官方反馈,官方于2021年3月16日答复,称尽管作为程序漏洞,但他们认为危害不大,修复漏洞会影响程序部分功能,因此暂不考虑修复

6、危害:
由于官方不认为此操作会产生多大危害,因此我不再针对此漏洞严重程度做过多评论
但我认为,如果在骗取用户授权管理员权限/用户自身关闭此管理员权限验证时,卡巴斯基应用程序能被顺利关闭。其中,骗取用户授权其实非常容易,制作伪装程序即可,但我没有自身实践,如果有人有空闲时间,可以尝试,在我认为这不是不可行的方法。

7、结尾:
①使用原版系统(指Windows Media安装,非任何形式Ghost安装)
②不要听取某些自媒体人,抖音号等关闭管理员权限验证,这会让你的环境更加危险
③不要接受任何形式的未知软件

评分

参与人数 7分享 +3 人气 +20 收起 理由
屁颠屁颠 + 3 + 3 版区有你更精彩: )
Hades丶亨哥 + 3 感谢支持,欢迎常来: )
tdsskiller + 3 优秀
l10x + 2 赞一个!
诸葛明 + 3 版区有你更精彩: )

查看全部评分

dg1vg4
发表于 2021-3-16 20:36:25 | 显示全部楼层
不少盗版系统都是直接使用Admin账户登录的,因为自动运行一些激活程序等很方便,对于一些低配置设备也能加快响应速度。
而Admin账户下直接无视UAC就可以提权。
Wesly.Zhang
发表于 2021-3-17 09:34:53 | 显示全部楼层
本帖最后由 Wesly.Zhang 于 2021-3-17 09:36 编辑

这种问题,任何软件安装都有。安装程序需要卸载旧版本,重启后自动安装新版本。

只要有这种操作的使用 windows installer 服务的程序都会执行这个操作。你中间结束了这个过程,自然不会后续的新程序安装。

温馨小屋
头像被屏蔽
发表于 2021-3-17 13:52:59 | 显示全部楼层
如果只有高版本的安装包才能实现的话,确实危险性不高,毕竟大多数人都用的最新版。
pal家族
发表于 2021-3-17 14:27:16 | 显示全部楼层
Wesly.Zhang 发表于 2021-3-17 09:34
这种问题,任何软件安装都有。安装程序需要卸载旧版本,重启后自动安装新版本。

只要有这种操作的使用 w ...

可以考虑安装程序再卸载当前版本时需要提权,过uac之后再直接卸载老版本。
当然卸载程序卸载老版本前调用当前版本卡巴来弹窗验证也不靠谱、更不可取。
huang1111
 楼主| 发表于 2021-3-17 15:53:42 | 显示全部楼层
Wesly.Zhang 发表于 2021-3-17 09:34
这种问题,任何软件安装都有。安装程序需要卸载旧版本,重启后自动安装新版本。

只要有这种操作的使用 w ...

在通常卸载产品中会进行程序内置卸载弹窗以询问用户(验证程序密码)
通过此方式直接可以跳过此步骤以达到卸载目的
此外,如果制作某个程序,让用户授权管理员权限后调用安装包卸载,不清楚是否可以达到卸载产品的目的,因为在这过程之中不再需要用户的二次确认
huang1111
 楼主| 发表于 2021-3-17 15:54:20 | 显示全部楼层
温馨小屋 发表于 2021-3-17 13:52
如果只有高版本的安装包才能实现的话,确实危险性不高,毕竟大多数人都用的最新版。

不一定是高版本安装包
只要错位的安装包即可,比如系统环境中KIS,调用KFA安装包即可卸载
huang1111
 楼主| 发表于 2021-3-17 15:55:28 | 显示全部楼层
pal家族 发表于 2021-3-17 14:27
可以考虑安装程序再卸载当前版本时需要提权,过uac之后再直接卸载老版本。
当然卸载程序卸载老版本前调 ...

程序内置密码在此过程直接无效了
而且如果制作程序,让用户授予管理员权限后,再次调用安装包貌似也不需要用户的确认,这时候卸载过程可以正常运行了就
yjwfdc
发表于 2021-3-19 18:35:45 | 显示全部楼层
一两年前,我也用这个方法把火绒卸载了,火绒后来就修复了这个问题。
yaoyunjia
发表于 2021-3-19 19:30:38 | 显示全部楼层
huang1111 发表于 2021-3-17 15:55
程序内置密码在此过程直接无效了
而且如果制作程序,让用户授予管理员权限后,再次调用安装包貌似 ...

这两天卡巴云不正常
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2021-10-18 10:30 , Processed in 0.126648 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表