微软 defender、avast、avg 被曝出漏洞,诱导 windows 永久删除用户文件 -j9九游会登陆入口
it之家 12 月 12 日消息,safebreach 安全研究员 yair 最近发布了一个概念验证程序 (poc),展示了如何诱使安全防护软件擦除或永久删除您 pc 上的无害文件。
据介绍,poc 被称为“合气道”,也就是同名武术中的精要所在 ——“以柔克刚”“借劲使力”,用对手的攻击手段击败对手。
目前微软已经承认 defender 中存在漏洞并且宣布已修补。
不过其他几大杀软,如 avast、avg 和 trendmicro 等也被证实会受到此漏洞的影响,而 mcafee 和 bitdefender 等产品则不受影响。
yair 解释称,poc 基于一种的检查时间到使用时间 (toctou) 的漏洞。
当杀软检测到这种文件时会将其确定为恶意文件,然后将其删除。使用 toctou 的 poc 可以在杀软检测到恶意软件后导入备用路径,然后致使电脑删除你的合法文件而不仅是恶意文件,甚至 windows 系统文件。
下面简要描述了这些步骤:
在 c:\temp\windows\system32\drivers\ndis.sys 中创建带有恶意文件的特殊路径
固定其路径并强制 edr 或 av 将删除操作推迟到下一次重启之后
删除 c:\temp 目录
创建连接 c:\temp → c:\
重启
有趣的是,对于 defender 和 defender for endpoint,yair 注意到 defender 没有删除文件而是直接删除了文件夹。it之家了解到,微软已为此漏洞分配了 id“ cve-2022-37971 ”的编号,并已在最新的 microsoft malware protection engine 版本 1.1.19700.2 中修复。
同时,trendmicro、avast 和 avg 也发布了各自产品的补丁:
trendmicro apex one:修补程序 23573 和 patch_b11136
avast 和 avg 杀毒软件:22.10