0day 预警 | Microsoft恶意软件防护引擎存在远程执行代码漏洞（CVE-2017-0290）

5月6日，谷歌的安全团队Project Zero在社交媒体上公布了Windows恶意软件防护引擎中的重大远程命令执行漏洞；8日，微软官方公布了此漏洞；9日，Project Zero公布了漏洞细节：攻击者可利用该漏洞远程控制任意Windows系统。

漏洞详情

漏洞编号:

CVE-2017-0290

漏洞名称:

Microsoft 恶意软件防护引擎远程执行代码漏洞

风险级别：

高危

漏洞描述：

Microsoft恶意软件保护引擎在扫描特制的文件时可能出现内存破坏。成功利用此漏洞的攻击者可在LocalSystem账户下执行任意代码，并完全控制系统，包括安装程序，查看、更改或删除数据，甚至创建具有完全用户权限的新帐户。

漏洞利用条件和方式:

受影响的Microsoft恶意软件保护引擎扫描了特制文件即可触发该漏洞。攻击者有多种方式放置可能会被扫描的特制文件，例如：

• 上传到网站；
• 通过邮件或即时通讯工具发送；
• 上传到网盘或服务器的共享位置上。

如果用户开启了实时防护，Microsoft恶意软件保护引擎会自动扫描文件，只要扫描到了特制文件就会触发这个漏洞；如果没有开启实时防护，系统执行定期扫描时才会触发这个漏洞。

漏洞影响范围:

• Microsoft Forefront Endpoint Protection 2010
• Microsoft Endpoint Protection
• Microsoft Forefront Security for SharePoint Service Pack 3
• Microsoft System Center Endpoint Protection
• Microsoft Security Essentials
• Windows Defender for Windows 7
• Windows Defender for Windows 8.1
• Windows Defender for Windows RT 8.1
• Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
• Windows Intune Endpoint Protection

漏洞检测:

检查Microsoft恶意软件保护引擎的版本。1.1.13701.0或之前版本均受漏洞影响。

漏洞修复建议:

将Microsoft恶意软件保护引擎升级到1.1.13704.0或更高版本。如果自动更新功能没有生效，请选择手动更新。

参考链接：

· https://technet.microsoft.com/en-us/library/security/4022344

· https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5

- END -