一、基本情况

Microsoft PowerShell核心中的WDAC存在绕过漏洞，CVE编号：CVE-2019-1167。该漏洞允许本地攻击者绕过Windows Defender应用程序控制（WDAC）强制执行。即使启用了WDAC，这也可能允许攻击者执行不受信任的程序。

      二、漏洞描述

Windows Defender Application Control是Microsoft提供的一种安全产品，只允许在Windows中运行受信任的应用程序和驱动程序。这种白名单方法提供了显着的安全性改进，因为只有受信任的应用程序才能运行，而恶意软件等未知应用程序永远不会被允许。

在Windows中启用系统范围的应用程序控制解决方案（如Device Guard和WDAC）时，PowerShell将自动进入约束语言模式以限制对某些Windows API的访问，但该漏洞可绕过PowerShell约束语言模式和WDAC。该漏洞影响了6.1.5之前的所有PowerShell Core 6.0、6.1版本和6.2.2之前的PowerShell Core 6.2版本，建议用户尽快更新。

      三、影响范围

PowerShell Core 6.0版本

PowerShell Core 6.1版本

PowerShell Core 6.2版本

      四、处置建议

目前Microsoft发布了新版本的PowerShell Core来修复该漏洞，建议升级至最新版本（6.2.2或6.1.5）。

要检查正在运行的PowerShell版本并确定您是否容易受到攻击，可以pwsh -v 从命令提示符执行该命令。

如果您知道安装了PowerShell Core，但pwsh.exe命令不起作用，那么您使用的是PowerShell Core 6.0，并且需要更新到更新的版本。

      五、参考链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-powershell-core-security-bug-to-fix-wdac-bypass/