5月6日,谷歌的安全团队Project Zero在社交媒体上公布了Windows恶意软件防护引擎中的重大远程命令执行漏洞;8日,微软官方公布了此漏洞;9日,Project Zero公布了漏洞细节:攻击者可利用该漏洞远程控制任意Windows系统。
漏洞详情
漏洞编号:
CVE-2017-0290
漏洞名称:
Microsoft 恶意软件防护引擎远程执行代码漏洞
风险级别:
高危
漏洞描述:
Microsoft恶意软件保护引擎在扫描特制的文件时可能出现内存破坏。成功利用此漏洞的攻击者可在LocalSystem账户下执行任意代码,并完全控制系统,包括安装程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。
漏洞利用条件和方式:
受影响的Microsoft恶意软件保护引擎扫描了特制文件即可触发该漏洞。攻击者有多种方式放置可能会被扫描的特制文件,例如:
如果用户开启了实时防护,Microsoft恶意软件保护引擎会自动扫描文件,只要扫描到了特制文件就会触发这个漏洞;如果没有开启实时防护,系统执行定期扫描时才会触发这个漏洞。
漏洞影响范围:
漏洞检测:
检查Microsoft恶意软件保护引擎的版本。1.1.13701.0或之前版本均受漏洞影响。
漏洞修复建议:
将Microsoft恶意软件保护引擎升级到1.1.13704.0或更高版本。如果自动更新功能没有生效,请选择手动更新。
参考链接:
· https://technet.microsoft.com/en-us/library/security/4022344
· https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5
- END -