当前位置:首页 > 漏洞预警 > 正文

Windows Defender 远程代码执行漏洞(CVE‐2021‐31985)预警

发布时间:2021-07-09 16:11:10,来源:北京奇虎科技有限公司

      一、 基本情况

7月8日,Google Project Zero 公开了Windows Defender 远程代码执行漏洞(CVE-2021-31985)的分析细节。微软已在6月补丁日发布了该漏洞的修复补丁。该漏洞无需用户交互,只要触发Defender对恶意文件的检测即可触发并利用漏洞,攻击者借此即可接管用户计算机。建议受影响用户及时更新漏洞修复补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Microsoft Defender是美国微软(Microsoft)公司的一款威胁防护软件。

Windows Defender在解析历史文件格式asprotect时采用了虚拟执行的方式,但由于解析过程中Defender以SYSTEM(最高权限)运行,并且对执行过程的DLL加载未能严格的校验,导致远程任意代码执行。攻击者通过构造特制的二进制程序,并通过邮件等方式投递目标用户计算机,无需用户打开,即可接管目标用户计算。同时该漏洞可绕过Defender的防御策略。

      四、 影响范围

Windows Defender < 1.1.18200.3

      五、 安全建议

目前官方已修复该漏洞,建议受影响用户尽快安装修复补丁。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31985

      六、 参考链接

https://bugs.chromium.org/p/project-zero/issues/detail?id=2189

https://cert.360.cn/warning/detail?id=1037049a19ee5705d8fdde0d142be654