微软针对Windows Defender中的两个严重漏洞发布了一个带外补丁,这个漏洞是由英国间谍机构GCHQ的一个部门National Security Center(NCSC)发现的,该机构向政府和公众提供网络防御建议。
例如,就在上周,NCSC 告诉英国“托管”信息的机构,由于俄罗斯网络间谍将其用作后门的风险,绝不会使用任何包括卡巴斯基在内的俄罗斯杀毒软件。
NCSC对微软杀毒软件的调查揭示了Windows Defender核心中的两个重要的远程代码执行漏洞,称为微软恶意软件保护引擎。
CVE-2017-11937和CVE-2017-11940跟踪的错误类似于Google 在5月份透露的Project Zero的“疯狂 - 糟糕”错误,这可以通过引擎处理特制文件来利用。这种技术会导致一个完整的系统妥协。
当恶意软件保护引擎扫描特制文件时,这两个新的错误可能导致内存损坏。
“成功利用此漏洞的攻击者可以在LocalSystem帐户的安全上下文中执行任意代码并控制系统,然后攻击者可以安装程序,查看,更改或删除数据,或创建具有完整用户权限的新帐户,“微软解释说。
攻击者可以通过将目标引导至恶意网站或将特制文件作为电子邮件或即时消息发送,从而在恶意软件引擎打开该文件时自动扫描。
攻击者也可以将攻击文件上传到引擎扫描的服务器上的共享位置。
与早期的漏洞一样,这两个漏洞对于启用了实时保护的系统可能会更危险,因为引擎被配置为自动扫描所有文件。在实时保护关闭的系统上,攻击者需要等待计划扫描才能发起攻击。
这些错误影响所有支持的Windows PC和服务器平台的Windows Defender,以及Windows Intune Endpoint Protection,Security Essentials,Forefront,Endpoint Protection以及Exchange Server 2013和2016。
幸运的是,微软表示这些漏洞并没有被公开透露,也不知道是否被利用。
微软指出,由于更新将由受影响产品用于检测和部署更新的系统应用,因此管理员通常不需要采取措施。它们将在发布后的48小时内提供。
谷歌的Project Zero研究人员今年在微软恶意软件保护引擎(Microsoft Malware Protection Engine)中共报告了10个漏洞,在远程代码执行和拒绝服务漏洞之间平分秋色。