作為windows系統的一道安全防線,微軟反病毒引擎卻被谷歌研究人員曝出存在“最可怕的遠端漏洞”,可以引發蠕蟲級攻擊,影響windows defender、mse、forefront等微軟全線安全産品。目前,微軟官方已緊急修複此漏洞(編号:cve-2017-0290),提示使用者進行安全更新。
該漏洞由全球著名“黑客天團”google project zero發現并報告給微軟。在2016年的poc國際安全會議上,pwn2own世界黑客大賽冠軍360vulcan團隊在介紹攻破所有浏覽器沙盒的“隔山打牛”攻擊技術時,也披露過相關攻擊面并示範了一個類似的漏洞。
微軟反病毒引擎全稱為microsoft malware protection engine,它被預設安裝在windows 8及以上版本的系統中,win7等老版本也可能随着系統更新而被安裝。由于該引擎在實作機制上存在嚴重漏洞,攻擊者隻要發送一個檔案觸發微軟反病毒引擎的檢測,就能以最高權限執行任意指令,完全控制系統。這意味着windows設定的“安檢”措施,反而為黑客攻擊敞開大門。
由于微軟反病毒引擎以系統權限運作在windows核心中,隻要有檔案在系統“落地”就會觸發該引擎檢測,包括網頁下載下傳或緩存的檔案、郵件附件、聊天傳輸檔案、壓縮包解壓,甚至pe資源等各種管道,都能夠利用微軟反病毒引擎的漏洞控制系統,人們日常上網的所有應用幾乎都會暴露在攻擊者的火力下,堪稱攻擊面最大的高危漏洞。
圖:微軟全線安全産品均受漏洞影響
目前,微軟正在通過病毒庫更新的方式修複漏洞。鑒于此漏洞的技術細節已經公開,網絡管理者和windows使用者應采取應對措施:個人使用者可通過軟體界面檢視windows defender和mse的引擎版本,如果版本号低于1.1.13701.0,應立即手動更新。如短期内無法更新,可以在系統的服務管理器中關閉相關服務;企業網絡管理者如果配置了自動更新和部署,該更新會在48小時内生效,否則應手動更新微軟反病毒引擎。
本文轉自d1net(轉載)