发布时间:2021-07-09 16:11:10,来源:北京奇虎科技有限公司
7月8日,Google Project Zero 公开了Windows Defender 远程代码执行漏洞(CVE-2021-31985)的分析细节。微软已在6月补丁日发布了该漏洞的修复补丁。该漏洞无需用户交互,只要触发Defender对恶意文件的检测即可触发并利用漏洞,攻击者借此即可接管用户计算机。建议受影响用户及时更新漏洞修复补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Microsoft Defender是美国微软(Microsoft)公司的一款威胁防护软件。
Windows Defender在解析历史文件格式asprotect时采用了虚拟执行的方式,但由于解析过程中Defender以SYSTEM(最高权限)运行,并且对执行过程的DLL加载未能严格的校验,导致远程任意代码执行。攻击者通过构造特制的二进制程序,并通过邮件等方式投递目标用户计算机,无需用户打开,即可接管目标用户计算。同时该漏洞可绕过Defender的防御策略。
Windows Defender < 1.1.18200.3
目前官方已修复该漏洞,建议受影响用户尽快安装修复补丁。
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31985
https://bugs.chromium.org/p/project-zero/issues/detail?id=2189
https://cert.360.cn/warning/detail?id=1037049a19ee5705d8fdde0d142be654