十多款防毒软件隔离恐失效，AVGater漏洞能纵放被封锁的恶意程式

澳洲资安业者Kapsch近日指出，坊间的十多款防毒软件都含有AVGater漏洞，这是个权限扩张漏洞，将允许骇客释放与执行遭到防毒软件隔离的恶意程式，目前包括趋势科技（Trend Micro）、卡巴斯基实验室（Kaspersky Lab）与Emsisoft等6家业者皆已修补该漏洞，Kapsch并未列出其他尚未修补的业者名单。

简单地说，AVGater漏洞利用了NTFS的目录连结（directory junctions）功能，来操弄防毒软件的隔离还原程序，以将原本被隔离的档案移到任意的档案系统中。

根据Kapsch所描述的攻击场景，当防毒软件将恶意程式移到隔离区之后，骇客可利用目录连结功能将原始路径改至位于C:\Program Files或C:\Windows中的文件夹；继之执行还原功能，让具备系统权限的防毒软件将档案送至骇客所指定的目的地。

由于许多Windows服务或核心程序会载入与执行储存于特定Windows目录中的所有DLL，因此当使用者重新启动电脑之后，这些原本被隔离的恶意程式就会随之被执行。

相关攻击最大的限制是骇客必须实际存取目标对象的电脑，同时Kapsch也建议企业最好封锁一般员工执行还原隔离的能力。