VU#158530:PCTCore64.sys Window... 笔记

VU#158530:PCTCore64.sys Windows 内核驱动程序存在缺失访问控制漏洞”

PC Tools Internet Security 的 PCTCore64.sys Windows 内核驱动程序存在严重安全漏洞。该驱动程序在未实施适当访问控制措施的情况下,暴露了一个名为 \.\PCTCoreDriver 的设备接口。因此,任何用户模式进程均可与该驱动程序交互并执行特权 IOCTL 命令。在“自带易受攻击驱动程序”(BYOVD)场景中,具备加载 Windows 驱动程序能力的攻击者可利用此缺陷。通过调用驱动程序暴露的接口,攻击者可在目标系统上执行敏感的低级操作。由于该驱动程序缺乏安全描述符应用,未授权进程能够打开设备句柄并发送特权 IOCTL 请求。这使得攻击者能够执行诸如枚举系统范围句柄以及跨进程操纵句柄等操作。关键的是,该漏洞允许从 lsass.exe 等敏感进程中提取凭据。此外,还可终止任意进程,包括受保护的进程。尽管 PC Tools Internet Security 已于 2013 年停止服务,但该驱动程序仍保持签名状态,且可在 BYOVD 攻击中被利用。此漏洞有助于实施凭据窃取、禁用安全软件以及实现更广泛的系统 compromise。其影响包括凭据窃取、拒绝服务以及系统 compromise。解决方案是移除并阻止该易受攻击的驱动程序,因其已不再维护。组织还应实施针对 BYOVD 攻击的缓解措施,例如限制管理员权限,并启用 Windows 安全功能,如 HVCI 和 WDAC。