Windows

Illusion Gap 漏洞曝光:恶意文件可绕过 Windows Defender 扫描

  • 浏览次数 3563
  • 喜欢 0
  • 评分 12345

据外媒报道,网络安全公司 CyberArk 近期发布安全通告,宣称在服务信息模块(SMB)协议共享的 Windows Defender 文件扫描进程中发现一处安全漏洞 “ Illusion Gap ”,允许攻击者利用受控的恶意 SMB 服务诱导用户执行文件。

研究人员表示,Windows 系统通常会发出两个可执行拷贝的请求,其中一个触发程序并为此创建进程;第二则是用于 Windows Defender,用于扫描恶意内容。

e032e880acb123d

然而,这就是问题所在。SMB 服务器能够区分两种请求,而通过受控的 SMB 服务器,攻击者能够通过配置发送两个完全不同的文件。这意味着 Windows PE Loader 能够接受恶意文件,而发送给 Windows Defender 是干净的。很显然,这种绕过漏洞在未来可能会衍生出更大的危害。

稿源:cnBeta,封面源自网络;

hackernews_foot