時間:2017-05-09 來源:互聯網 瀏覽量:
作為Windows係統的一道安全防線,微軟反病毒引擎卻被穀歌研究人員曝出存在“最可怕的遠程漏洞”,可以引發蠕蟲級攻擊,影響Windows Defender、MSE、Forefront等微軟全線安全產品。目前,微軟官方已緊急修複此漏洞(編號:CVE-2017-0290),提示用戶進行安全更新。
該漏洞由全球著名“黑客天團”Google Project Zero發現並報告給微軟。在2016年的PoC國際安全會議上,Pwn2Own世界黑客大賽冠軍360Vulcan團隊在介紹攻破所有瀏覽器沙盒的“隔山打牛”攻擊技術時,也披露過相關攻擊麵並演示了一個類似的漏洞。
微軟反病毒引擎全稱為Microsoft Malware Protection Engine,它被默認安裝在Windows 8及以上版本的係統中,Win7等老版本也可能隨著係統更新而被安裝。由於該引擎在實現機製上存在嚴重漏洞,攻擊者隻要發送一個文件觸發微軟反病毒引擎的檢測,就能以最高權限執行任意命令,完全控製係統。這意味著Windows設置的“安檢”措施,反而為黑客攻擊敞開大門。
由於微軟反病毒引擎以係統權限運行在Windows內核中,隻要有文件在係統“落地”就會觸發該引擎檢測,包括網頁下載或緩存的文件、郵件附件、聊天傳輸文件、壓縮包解壓,甚至PE資源等各種渠道,都能夠利用微軟反病毒引擎的漏洞控製係統,人們日常上網的所有應用幾乎都會暴露在攻擊者的火力下,堪稱攻擊麵最大的高危漏洞。
圖:微軟全線安全產品均受漏洞影響
目前,微軟正在通過病毒庫更新的方式修複漏洞。鑒於此漏洞的技術細節已經公開,網絡管理員和Windows用戶應采取應對措施:個人用戶可通過軟件界麵查看Windows Defender和MSE的引擎版本,如果版本號低於1.1.13701.0,應立即手動更新。如短期內無法更新,可以在係統的服務管理器中關閉相關服務;企業網絡管理員如果配置了自動更新和部署,該更新會在48小時內生效,否則應手動更新微軟反病毒引擎。
圖:Windows Defender軟件界麵查看引擎版本
