Microsoft修復Windows惡意軟件保護引擎中的遠程黑客漏洞.遠程控制軟件,遠程控制

admin

Microsoft修復Windows惡意軟件保護引擎中的遠程黑客漏洞.遠程控制軟件,遠程控制
攻擊者可以利用此漏洞來破壞運行受影響的Microsoft安全產品的Windows系統(tǒng)，包括Windows Defender和Microsoft Security Essentials。

Microsoft已經發(fā)布了與大多數(shù)Windows安全產品捆綁的惡意軟件掃描引擎的更新，以修復可能允許攻擊者竊取計算機的高度關鍵的漏洞。

這個漏洞是由Google Project Zero研究人員Tavis Ormandy和Natalie Silvanovich星期六發(fā)現(xiàn)的，并且對于微軟在星期一之前創(chuàng)建和發(fā)布補丁是足夠認真的。對于該公司來說，這是一個非常快速的反應，通常在每個月的第二個星期二發(fā)布安全更新，很少會突破這個周期。

Ormandy星期六在Twitter上宣布，他和他的同事在Windows中發(fā)現(xiàn)了一個“瘋狂的壞”漏洞，并將其描述為“最近的內存中最糟糕的Windows遠程代碼執(zhí)行”。

當時，研究人員沒有透露任何其他細節(jié)，這些缺陷將允許其他人確定其位置，但表示潛在的漏洞將影響Windows安裝在其默認配置中，并可能自我傳播。

根據星期一發(fā)布的Microsoft安全公告，當Microsoft惡意軟件防護引擎掃描特制文件時，可以觸發(fā)此漏洞。 Windows Defender使用的引擎是Windows 7及更高版本上預裝的惡意軟件掃描器，以及其他Microsoft消費者和企業(yè)安全產品：Microsoft Security Essentials，Microsoft Forefront Endpoint Protection 2010，Microsoft Endpoint Protection，Microsoft Forefront Security for SharePoint Service Pack 3，Microsoft System Center Endpoint Protection和Windows Intune Endpoint Protection。

桌面和服務器Windows部署可能面臨風險，特別是在受影響的安全產品中啟用實時保護時。通過實時保護，惡意軟件保護引擎在文件系統(tǒng)出現(xiàn)時立即自動檢查文件，而不是在計劃或手動觸發(fā)掃描操作期間處理文件。

根據Google Project Zero對此漏洞的描述，只有存在任何形式的特制文件以及計算機上任何擴展名可能會觸發(fā)剝削。這包括未打開的電子郵件附件，未完成的下載，瀏覽器緩存的臨時Internet文件，甚至提交到運行Internet信息服務（IIS）的基于Windows的Web服務器上托管的網站的用戶內容。

由于Microsoft惡意軟件保護引擎以LocalSystem特權運行，因此成功利用此漏洞可能允許黑客完全控制底層操作系統(tǒng)。據微軟稱，攻擊者可以“安裝程序;查看，更改或刪除數(shù)據;或創(chuàng)建具有完全用戶權限的新帳戶”。

用戶應檢查其產品中使用的Microsoft惡意軟件防護引擎版本是否為1.1.10701.0或更高版本。將修補程序傳播到配置為自動更新的產品最多可能需要48小時，但用戶也可以觸發(fā)手動更新, 遠程控制, 灰鴿子。

“企業(yè)反惡意軟件部署管理員應確保其更新管理軟件配置為自動批準和分發(fā)引擎更新和新的惡意軟件定義，”Microsoft在其咨詢中說。 “企業(yè)管理員還應該驗證最新版本的Microsoft惡意軟件保護引擎和定義更新正在其環(huán)境中被積極下載，批準和部署。