微软 Defender 等曝出漏洞,诱导 Windows 永久删除用户文件
萝卜家园 12 月 12 日消息,SafeBreach 安全研究员 Yair 最近发布了一个概念验证程序 (POC),展示了如何诱使安全防护软件擦除或永久删除您 PC 上的无害文件。
目前微软已经承认 Defender 中存在漏洞并且宣布已修补。
不过其他几大杀软,如 Avast、AVG 和 TrendMicro 等也被证实会受到此漏洞的影响,而 McAfee 和 BitDefender 等产品则不受影响。
Yair 解释称,POC 基于一种的检查时间到使用时间 (TOCTOU) 的漏洞。
当杀软检测到这种文件时会将其确定为恶意文件,然后将其删除。使用 TOCTOU 的 POC 可以在杀软检测到恶意软件后导入备用路径,然后致使电脑删除你的合法文件而不仅是恶意文件,甚至 Windows 系统文件。
下面简要描述了这些步骤:
在 C:\temp\Windows\System32\drivers\ndis.sys 中创建带有恶意文件的特殊路径
固定其路径并强制 EDR 或 AV 将删除操作推迟到下一次重启之后
删除 C:\temp 目录
创建连接 C:\temp → C:\
重启
有趣的是,对于 Defender 和 Defender for Endpoint,Yair 注意到 Defender 没有删除文件而是直接删除了文件夹。萝卜家园了解到,微软已为此漏洞分配了 ID“ CVE-2022-37971 ”的编号,并已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修复。
同时,TrendMicro、Avast 和 AVG 也发布了各自产品的补丁:
TrendMicro Apex One:修补程序 23573 和 Patch_b11136
Avast 和 AVG 杀毒软件:22.10
- 系统教程栏目
- win10系统教程排行
- 1 office2016专业增强版永久激活密钥最新2022
- 2 win10系统下网上邻居看不到其他共享电脑的4个解决方法
- 3 2020最新windows10激活密钥永久激活码神KEY大全(100%有效免费激活)
- 4 windows10怎么激活_激活win10系统的方法
- 5 win10怎么调节电脑屏幕亮度_win10调整电脑屏幕亮度的方法
- 6 office2016产品密钥永久激活码 office2016永久激活密钥最新
- 7 Win10无法查看局域网共享计算机及打印机的4种解决方法
- 8 Win10系统下提示VMware与Device/Credential Guard不兼容如何解决
- 9 电脑键盘各个按键功能和作用介绍 电脑键盘各个按键功能高清图片图解
- 10 2020最新最全的Win10专业版密钥神key_windows10专业版激活密钥永久激活码
- 大家都在使用
- win10系统推荐
- 番茄花园 ghost win10 32位 优化装机版系统 v2022.12
- 深度技术 ghost win10 64位 专业优化版系统 v2022.12
- 绿茶系统 ghost win10 32位 中文稳定版系统 v2022.12
- 番茄花园 ghost win10 64位 专业官方版系统 v2022.12
- 大地系统 ghost win10 64位 大神精简版系统 v2022.12
- 萝卜家园 ghost win10 64位 中文专业版系统 v2022.12
- 番茄花园 ghost win10 64位 精简安装版系统 v2022.12
- 番茄花园 ghost win10 32位 官方精简版系统 v2022.12
- 萝卜家园 ghost win10 64位 中文正版系统 v2022.12
- 系统之家 ghost win10 32位 专业最新版系统 v2022.12
- 最新教程
- 1 显示距离的免费交友软件有哪些?能看到附近人距离的交友软件app下载
- 2 win10系统怎么把核显切换成amd独立显卡
- 3 Win10系统怎么设置点击任务栏的资源管理器默认打开“这台电脑”
- 4 win10系统下怎么将拼音输入法更改为默认英文模式【图文】
- 5 Win10系统下设置自动同步系统网络时间的方法【图文】
- 6 Win10 9926预览版系统提示“应用商店在你的国家/地区无法使用”如何解决
- 7 Win10系统更改天气应用中显示天气城市的方法【图】
- 8 Win10 10056预览版系统下如何设置不让开始菜单透明化
- 9 Win10安全性能大大提升
- 10 Windows10系统如何更改PIN登录密码