微软 Defender、Avast、AVG 被曝出漏洞,诱导 Windows 永久删除用户文件
12 月 12 日消息,SafeBreach 安全研究员 Yair 最近发布了一个概念验证程序 (POC),展示了如何诱使安全防护软件擦除或永久删除您 PC 上的无害文件。
据介绍,POC 被称为“合气道”,也就是同名武术中的精要所在 ——“以柔克刚”“借劲使力”,用对手的攻击手段击败对手。
目前微软已经承认 Defender 中存在漏洞并且宣布已修补。
不过其他几大杀软,如 Avast、AVG 和 TrendMicro 等也被证实会受到此漏洞的影响,而 McAfee 和 BitDefender 等产品则不受影响。
Yair 解释称,POC 基于一种的检查时间到使用时间 (TOCTOU) 的漏洞。
当杀软检测到这种文件时会将其确定为恶意文件,然后将其删除。使用 TOCTOU 的 POC 可以在杀软检测到恶意软件后导入备用路径,然后致使电脑删除你的合法文件而不仅是恶意文件,甚至 Windows 系统文件。
下面简要描述了这些步骤:
在 C:\temp\Windows\System32\drivers\ndis.sys 中创建带有恶意文件的特殊路径
固定其路径并强制 EDR 或 AV 将删除操作推迟到下一次重启之后
删除 C:\temp 目录
创建连接 C:\temp → C:\
重启
有趣的是,对于 Defender 和 Defender for Endpoint,Yair 注意到 Defender 没有删除文件而是直接删除了文件夹。IT之家了解到,微软已为此漏洞分配了 ID“ CVE-2022-37971 ”的编号,并已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修复。
同时,TrendMicro、Avast 和 AVG 也发布了各自产品的补丁:
TrendMicro Apex One:修补程序 23573 和 Patch_b11136
Avast 和 AVG 杀毒软件:22.10
相关文章
- 国产操作系统deepin推送20.8版本:wine应用开启速度获得提升
- 谷歌Chrome浏览器新模式上线:最多可减少30%内存占用
- Linux中国版第一!深度操作系统20.8升级发布:三大新变化
- 8万块买个大玩具 新一代BJ212将预售:中国汽车工业活化石上新
- 玩家注意升级:Win11 Beta渠道KB5021866更新补丁修复游戏性能问题
- 9 月有 13.8 亿个标签页进入睡眠状态,微软再晒 Edge 浏览器“睡眠标签页”亮眼成绩
- 看 PDF 文件更轻松了,Microsoft Teams 宣布整合 Adobe Acrobat 功能
- 看齐QQ音乐?Apple Music新功能来了:支持iPhone、iPad唱卡拉OK
- 比鸿蒙还流畅!荣耀Magic4系列推送MagicOS 7.0:底层升级安卓13
- 自砍三刀做最轻巧流畅系统!MIUI 14马上发:小米10系列也能升
- 苹果 iOS 16.2 Beta 4 通知中心不再隐藏旧的通知
- 苹果iOS 16.2开发版Beta 4发布,下次更新预计为正式版
- Epic 在 App Store 上架一款 3D 扫描应用,曾因《堡垒之夜》和苹果闹僵
- 游戏玩家注意了 微软Win11重大更新上线:修复性能下降bug
- 火狐浏览器 Firefox 107.0.1 版本发布:提高微软 Win11 22H2 兼容性,修复 Bug
- iOS 版谷歌 Chrome 浏览器 108 新特性:外部链接可用隐身模式打开
