漏洞描述
2021年07月08日,监测发现Google Project Zero发布了CVE-2021-31985的分析细节,Windows Defender 作为Windows的默认防线,其漏洞拥有极高的利用价值。因为默认可绕过Windwos系统防御机制,以及Defender本身以SYSTEM(最高权限运行),该漏洞是Defender对历史格式asprotect的虚拟执行造成,攻击者可以通过向用户发送恶意邮件,该邮件自动触发Defender扫描邮件附件,攻击者借此即可接管用户计算机。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2021-31985
漏洞危害
Window Defender 在解析历史文件格式asprotect时采用了虚拟执行的方式,但由于解析过程中Defender以SYSTEM(最高权限)允许,并且对执行过程的DLL加载未进行严格的校验,导致远程任意代码执行。攻击者构造特制的二进制程序,通过邮件等方式投递到用户计算机无需用户打开,即可接管用户计算机。同时该漏洞可绕过Defender的防御策略。该漏洞无需用户交互,只要触发Defender对恶意文件的检测即可触发并利用漏洞。
漏洞等级
高危
受影响版本
Windows:Defender < 1.1.18200.3
修复方案
Windows 在 6月补丁日已针对该漏洞发布修复程序,请用户开启Windows自动更新以获得补丁安装。
参考链接
1、https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31985
/
网络安全