当前位置:首页 > 漏洞预警 > 正文

Microsoft PowerShell WDAC绕过漏洞(CVE-2019-1167)预警

发布时间:2019-07-25 11:28:44,来源:中国信息通信研究院

      一、基本情况

Microsoft PowerShell核心中的WDAC存在绕过漏洞,CVE编号:CVE-2019-1167。该漏洞允许本地攻击者绕过Windows Defender应用程序控制(WDAC)强制执行。即使启用了WDAC,这也可能允许攻击者执行不受信任的程序。

      二、漏洞描述

Windows Defender Application Control是Microsoft提供的一种安全产品,只允许在Windows中运行受信任的应用程序和驱动程序。这种白名单方法提供了显着的安全性改进,因为只有受信任的应用程序才能运行,而恶意软件等未知应用程序永远不会被允许。

在Windows中启用系统范围的应用程序控制解决方案(如Device Guard和WDAC)时,PowerShell将自动进入约束语言模式以限制对某些Windows API的访问,但该漏洞可绕过PowerShell约束语言模式和WDAC。该漏洞影响了6.1.5之前的所有PowerShell Core 6.0、6.1版本和6.2.2之前的PowerShell Core 6.2版本,建议用户尽快更新。

      三、影响范围

PowerShell Core 6.0版本

PowerShell Core 6.1版本

PowerShell Core 6.2版本

      四、处置建议

目前Microsoft发布了新版本的PowerShell Core来修复该漏洞,建议升级至最新版本(6.2.2或6.1.5)。

要检查正在运行的PowerShell版本并确定您是否容易受到攻击,可以pwsh -v 从命令提示符执行该命令。

1.jpg

如果您知道安装了PowerShell Core,但pwsh.exe命令不起作用,那么您使用的是PowerShell Core 6.0,并且需要更新到更新的版本。

      五、参考链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-powershell-core-security-bug-to-fix-wdac-bypass/