查看完整版本: [-- 微软 Defender 等曝出漏洞,诱导 Windows 永久删除用户文件 --]

秋无痕论坛 -> 『系统安全综合区』 -> 微软 Defender 等曝出漏洞,诱导 Windows 永久删除用户文件 [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

mc2800 2022-12-12 17:13

12 月 12 日消息,SafeBreach 安全研究员 Yair 最近发布了一个概念验证程序 (POC),展示了如何诱使安全防护软件擦除或永久删除您 PC 上的无害文件。

据介绍,POC 被称为“合气道”,也就是同名武术中的精要所在 ——“以柔克刚”“借劲使力”,用对手的攻击手段击败对手。

目前微软已经承认 Defender 中存在漏洞并且宣布已修补。

不过其他几大杀软,如 Avast、AVG 和 TrendMicro 等也被证实会受到此漏洞的影响,而 McAfee 和 BitDefender 等产品则不受影响。
[attachment=335833]

Yair 解释称,POC 基于一种的检查时间到使用时间 (TOCTOU) 的漏洞。

当杀软检测到这种文件时会将其确定为恶意文件,然后将其删除。使用 TOCTOU 的 POC 可以在杀软检测到恶意软件后导入备用路径,然后致使电脑删除你的合法文件而不仅是恶意文件,甚至 Windows 系统文件。

下面简要描述了这些步骤:

在 C:\temp\Windows\System32\drivers\ndis.sys 中创建带有恶意文件的特殊路径

固定其路径并强制 EDR 或 AV 将删除操作推迟到下一次重启之后

删除 C:\temp 目录

创建连接 C:\temp → C:\

重启

有趣的是,对于 Defender 和 Defender for Endpoint,Yair 注意到 Defender 没有删除文件而是直接删除了文件夹。IT之家了解到,微软已为此漏洞分配了 ID“ CVE-2022-37971 ”的编号,并已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修复。

同时,TrendMicro、Avast 和 AVG 也发布了各自产品的补丁:

TrendMicro Apex One:修补程序 23573 和 Patch_b11136

Avast 和 AVG 杀毒软件:22.10

jxm 2022-12-13 01:51
了解一下。谢谢楼主分享。

watter 2022-12-13 16:15
了解一下,谢谢分享。

mc2800 2022-12-13 17:47
看看了解一下吧!

lansan 2022-12-17 19:17
感谢楼主分享。

hexj9 2022-12-18 13:15
谢谢辛苦分享这个了,进来看看,了解一下。

wjwddd 2023-02-08 14:05
谢谢楼主分享,进来看看,了解一下。

dysunb 2023-11-02 08:35
了解一下   

cdt888 2023-12-06 07:43
路过看看,谢谢分享

zx2908511 2023-12-08 14:47
感谢信息分享

cdt888 2023-12-18 08:22
路过看看,谢谢分享

itn1 2023-12-20 16:56
了解一下

木子风258 2023-12-20 17:17
了解一下,感谢分享。

hummer 2023-12-20 17:22
了解一下!

cdt888 2024-01-21 08:34
过来看看,谢谢分享


查看完整版本: [-- 微软 Defender 等曝出漏洞,诱导 Windows 永久删除用户文件 --] [-- top --]



Powered by PHPWind v7.3.2 Code © 2003-08 PHPWind
Time 0.041253 second(s),query:3 Gzip enabled

You can contact us