快科技 4 月 14 日消息 近日，一位安全研究人员在 X 平台发布推文，披露了金山毒霸与 360 安全卫士两款主流杀毒软件的内核驱动存在高危漏洞，这些漏洞可能被攻击者利用，实现对目标设备的完全控制。

据介绍，攻击者利用这些漏洞，可从普通用户权限提权至 SYSTEM 最高权限，绕过 KASLR（内核地址空间布局随机化）保护，窃取内核凭据，甚至修改内核回调表以隐藏恶意行为。

由于涉事驱动均具备 EV 或 WHQL 官方签名，攻击者无需在目标设备上安装额外软件，即可直接加载恶意载荷，攻击门槛极低。

其中，金山毒霸的 kdhacker64_ev.sys 驱动存在明显的缓冲区分配缺陷。

该驱动在处理用户输入时，分配的缓冲区大小仅为实际所需的一半，导致 1160 字节的数据被写入仅 584 字节的空间，直接引发 512 字节的内核池溢出。

值得注意的是，该驱动持有有效的 EV 签名，这意味着攻击者可借助此漏洞轻松绕过系统安全校验，实现对设备的完全控制。

360 安全卫士的漏洞则体现在 DsArk64.sys 驱动上。

该驱动允许通过 IOCTL 接口传入 4 字节的进程 ID，并在 Ring 0 层级直接调用 ZwTerminateProcess 函数，可强制终止任意进程，甚至能绕过 PPL（受保护进程）机制，对系统核心进程造成威胁。

不仅如此，该驱动的内核读写功能采用 AES-128-CBC 加密算法，但其解密密钥被硬编码在二进制文件的 .data 段中，且所有版本均使用同一密钥，极大降低了攻击者的破解难度。

目前，这两个高危漏洞已被提交至 LOLDrivers 数据库。