防病毒等安全软件的目的是保护用户免受恶意程序的攻击。不过，最近，安全研究人员发现，麦卡菲、卡巴斯基、趋势科技、微软等10家厂商的产品存在漏洞，这些漏洞可以被黑客利用，转而对用户发动攻击。

        赛博方舟研究人员伊兰·希蒙尼认为，杀毒软件通常比其他程序拥有更高的权限，很容易成为黑客攻击的目标，利用其漏洞进行操纵，然后利用其高权限对用户系统发动攻击。研究人员在主流安全软件中发现了多个漏洞，包括卡巴斯基、麦卡菲、赛门铁克、Fortinet、check point、trend technology、Avira、avast、F-Secure和Microsoft defender，这些漏洞可以让黑客删除系统文件或销毁文件以删除系统上的任何文件内容。

        例如，其中一些漏洞与programdata目录中的区分访问控制列表（DACL）有关。在windows上，programdata目录是一个应用程序，它存储不属于单个用户的数据。这意味着它可以为多个行程或服务共享，包括高特权行程和低特权行程。此外，任何权限的用户都可以自由访问和修改programdata下的文件。

        因此，攻击者有机会发起权限升级攻击；通过使用低权限行程创建新的programdata目录并修改programdata下的文件，从而使恶意共享文件被高权限行程使用。研究人员特别描述了两种类型的攻击。方法是创建指向带有恶意内容的任意文件的符号链接文件。第二种是DLL劫持，攻击者将恶意DLL文件植入目录，使共享DLL文件的合法应用程序执行恶意行为。

        经过测试，研究人员发现，McAfee和Avira杀毒软件可以被操纵，使本地用户能够发起符号连接攻击并获得升级权限，而trend technology等软件则被DLL劫持。

        cve-2020；cve-2020；cve-2020；cve-2020；cve-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；cve-2020；cve-2020；CV50-2020；cve-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；CV50-2020；cve-2020；CV50-2020；CV50-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；cve-2020；CV50-2020；cve-2020，cve-2019-2019-2019-7310 

         McAfee:cve-2020-2020-25045、cve-2020-2020-25044、cve-2020-2020-25043；McAfee:cve:cve McAfee 19689+3。Avira:cve-2020-13903；Microsoft defender-cve-2019-1161；avast和F-Secure没有漏洞编号。

        赛博方舟已经分别通知了这些供应商，他们都已经完成了漏洞的修复，并指出卡巴斯基的反应最快。

        这些漏洞也可能发生在自行开发的应用程序中。因此，研究人员也为开发者提出了一些建议，包括限制对programdatadacl的访问，小心地创建伪programmata文件，将安装框架更新到最新版本，或者使用更安全的windows MSI。