微软Defender等曝出bug,诱导 Windows 永久删除用户文件
发布时间:2022-12-12 11:00:51 所属栏目:外闻 来源:网络
导读: SafeBreach 安全研究员 Yair 最近发布了一个概念验证程序 (POC),展示了如何诱使安全防护软件擦除或永久删除您 PC 上的无害文件。
据介绍,POC 被称为“合气道”,
据介绍,POC 被称为“合气道”,
|
SafeBreach 安全研究员 Yair 最近发布了一个概念验证程序 (POC),展示了如何诱使安全防护软件擦除或永久删除您 PC 上的无害文件。 据介绍,POC 被称为“合气道”,也就是同名武术中的精要所在 ——“以柔克刚”“借劲使力”,用对手的攻击手段击败对手。 目前微软已经承认 Defender 中存在漏洞并且宣布已修补。 不过其他几大杀软,如 Avast、AVG 和 TrendMicro 等也被证实会受到此漏洞的影响,而 McAfee 和 BitDefender 等产品则不受影响。 Yair 解释称,POC基于一种的检查时间到使用时间 (TOCTOU) 的漏洞。 当杀软检测到这种文件时会将其确定为恶意文件,然后将其删除。使用 TOCTOU 的 POC 可以在杀软检测到恶意软件后导入备用路径,然后致使电脑删除你的合法文件而不仅是恶意文件,甚至 Windows 系统文件。 下面简要描述了这些步骤: 在 C:\temp\Windows\System32\drivers\ndis.sys 中创建带有恶意文件的特殊路径 按住它的手柄并强制 EDR 或 AV 将删除操作推迟到下一次重启之后 删除 C:\temp 目录 创建连接 C:\temp→C:\ 重启 有趣的是,对于 Defender 和 Defender for Endpoint,Yair 注意到 Defender 没有删除文件而是直接删除了文件夹。IT之家了解到,微软已为此漏洞分配了 ID“CVE-2022-37971 ”的编号,并已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修复。 同时,TrendMicro、Avast 和 AVG 也发布了各自产品的补丁: TrendMicro Apex One:修补程序 23573 和 Patch_b11136 Avast 和 AVG 杀毒软件:22.10 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐