12 月 12 日消息,SafeBreach 安全研究员 Yair 最近发布了一个概念验证程序 (POC),展示了如何诱使安全防护软件擦除或永久删去您 PC 上的无害文件。
据介绍,POC 被称为“合气道”,也便是同名武术中的精要地点 ——“以柔克刚”“借劲使力”,用对手的进犯手法击败对手。
目前微软现已供认 Defender 中存在缝隙并且宣告已修补。
不过其他几大杀软,如 Avast、AVG 和 TrendMicro 等也被证明会受到此缝隙的影响,而 McAfee 和 BitDefender 等产品则不受影响。
Yair 解说称,POC 基于一种的查看时刻到运用时刻 (TOCTOU) 的缝隙。
当杀软检测到这种文件时会将其确认为歹意文件,然后将其删去。运用 TOCTOU 的 POC 能够在杀软检测到歹意软件后导入备用途径,然后致使电脑删去你的合法文件而不仅是歹意文件,甚至 Windows 系统文件。
下面扼要描绘了这些步骤:
在 C:\temp\Windows\System32\drivers\ndis.sys 中创建带有歹意文件的特别途径
固定其途径并强制 EDR 或 AV 将删去操作推迟到下一次重启之后
删去 C:\temp 目录
创建衔接 C:\temp → C:\
重启
有趣的是,对于 Defender 和 Defender for Endpoint,Yair 注意到 Defender 没有删去文件而是直接删去了文件夹。IT之家了解到,微软已为此缝隙分配了 ID“ CVE-2022-37971 ”的编号,并已在最新的 Microsoft Malware Protection Engine 版别 1.1.19700.2 中修复。
一起,TrendMicro、Avast 和 AVG 也发布了各自产品的补丁:
TrendMicro Apex One:修补程序 23573 和 Patch_b11136
Avast 和 AVG 杀毒软件:22.10
