ESET 病毒扫描工具被曝严重漏洞，黑客借此部署后门程序悄然绕过检测！

知名安全软件 ESET 被曝存在严重安全漏洞，令人意外的是，这一漏洞竟然出现在其命令行病毒扫描工具中。而揭露此漏洞的，正是其竞争对手——卡巴斯基实验室。

漏洞编号：CVE-2024-11859

攻击者利用 ESET 命令行扫描程序的库加载机制缺陷，通过劫持动态链接库加载流程，实现恶意代码注入。具体来说，ESET 扫描程序在加载系统组件时优先查找当前工作目录，而非系统目录，从而导致攻击者能够放置恶意 DLL 文件（如 version.dll），实现自定义恶意代码的执行——这是典型的“自带易受攻击驱动程序”攻击方式。

黑客组织：ToddyCat

此次攻击来自名为 ToddyCat 的高级持续性威胁组织（APT），该组织自 2021 年首次被发现以来，主要针对政府、军事及关键基础设施等高价值目标，活跃地区覆盖亚洲与欧洲。

利用过程：用 ESET 绕过 ESET

黑客将恶意 DLL 放入 ESET 命令行扫描工具所在目录中，使 ESET 工具在执行时自动加载并运行后门程序，从而绕过标准安全检测机制。这一攻击方式也堪称对“灯下黑”一词的完美诠释——黑客借助安全软件本身来避开其防护。

部署后门：TCESB

卡巴斯基指出，攻击者使用的后门程序名为 TCESB，该程序是基于开源工具 EDRSandBlast 修改而成。该工具原本用于规避EDR（端点检测与响应）机制，具有篡改内核结构、禁用回调等高级能力。黑客通过修改版本实现特定恶意操作，进一步巩固控制权限。

官方回应与修复

ESET 在收到卡巴斯基通报后，于 2025 年 1 月 发布安全更新修复该漏洞。考虑到安全风险，卡巴斯基在漏洞修复前未公开披露细节，直至多数企业完成升级后，才正式公布攻击细节。

防范建议

卡巴斯基建议用户及企业持续监控以下可疑行为：

• 系统中涉及已知漏洞驱动程序的安装事件；

• 在无需调试的设备上加载 Windows NT 内核调试符号的行为。

上述活动极有可能暗藏恶意，应引起高度重视。