国产主流杀毒软件内核驱动曝高危漏洞

安全研究员 Patrick Saif 披露金山毒霸与 360 安全卫士的内核驱动存在高危漏洞。金山毒霸防火墙驱动因 IOCTL 尺寸计算错误引发内核堆溢出，攻击者无需认证即可破坏内核池元数据，实现任意代码执行。360 安全卫士反 Rootkit 驱动风险更高，其签名校验可通过进程空洞绕过，硬编码的 AES 密钥允许攻击者执行任意内核读写及终止受 PPL 保护的进程。两者均持有合法数字签名，极易被用于 BYOVD 攻击。

目前两个漏洞已提交至 LOLDrivers 数据库，均未获 CVE 编号且不在 HVCI 屏蔽名单中。攻击者利用这些漏洞可从普通用户提权至 SYSTEM，绕过 KASLR 并窃取内核凭据，甚至修改内核回调表隐藏恶意行为。鉴于涉事驱动具备 EV 或 WHQL 签名，攻击者无需在目标机器安装软件即可加载恶意载荷。在厂商发布补丁前，企业需将相关驱动哈希加入 EDR 检测规则以防范内核级攻击。