十多款防毒軟體隔離恐失效，AVGater漏洞能縱放被封鎖的惡意程式

澳洲資安業者Kapsch近日指出，坊間的十多款防毒軟體都含有AVGater漏洞，這是個權限擴張漏洞，將允許駭客釋放與執行遭到防毒軟體隔離的惡意程式，目前包括趨勢科技（Trend Micro）、卡巴斯基實驗室（Kaspersky Lab）與Emsisoft等6家業者皆已修補該漏洞，Kapsch並未列出其他尚未修補的業者名單。

簡單地說，AVGater漏洞利用了NFTS的目錄連結（directory junctions）功能，來操弄防毒軟體的隔離還原程序，以將原本被隔離的檔案移到任意的檔案系統中。

根據Kapsch所描述的攻擊場景，當防毒軟體將惡意程式移到隔離區之後，駭客可利用目錄連結功能將原始路徑改至位於C:\Program Files或C:\Windows中的文件夾；繼之執行還原功能，讓具備系統權限的防毒軟體將檔案送至駭客所指定的目的地。

由於許多Windows服務或核心程序會載入與執行儲存於特定Windows目錄中的所有DLL，因此當使用者重新啟動電腦之後，這些原本被隔離的惡意程式就會隨之被執行。

相關攻擊最大的限制是駭客必須實際存取目標對象的電腦，同時Kapsch也建議企業最好封鎖一般員工執行還原隔離的能力。

Windows本來就有無限多的「漏洞」！大概要1000年才能修好Windows XP！2000年才能修好Windows 10！