通告概要
2021年01月13日,微软在每月例行补丁日当天修复了一个非常严重的Windows Defender远程代码执行漏洞。而Windows Defender是微软内置在Windows Vista,Windows 7,Windows 8,Windows 8.1和Windows10等操作系统中的默认杀软软件。攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件,从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞,最终控制受害者计算机。而通过微软官方描述,CVE-2021-1647 目前已发现在野利用。
奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞,并确认漏洞可被利用。该漏洞导致的威胁非常严重,不过由于Windows Defender具有联网后自动升级补丁的能力,故该漏洞目前造成的影响已经不大。
漏洞概要
漏洞名称 | Microsoft Windows Defender远程代码执行漏洞(CVE-2021-1647) | ||||
威胁类型 | 远程代码执行 | 威胁等级 | 严重 | 漏洞ID | CVE-2021-1647 |
利用场景 | 攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件,从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞,最终控制受害者计算机。 | ||||
受影响系统及应用版本 | |||||
Windows Defender恶意软件保护引擎1.1.17600.5及之前的版本 | |||||
漏洞描述
Windows Defender 在利用内置模拟执行组件扫描可执行文件时,存在一处堆溢出漏洞。攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件,从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞,最终控制受害者计算机。
影响面评估
该漏洞导致的威胁非常严重,不过由于Windows Defender具有联网后自动升级补丁的能力,故该漏洞当前造成的危害影响已经不大。
处置建议
针对该漏洞,微软已发布相关补丁更新,且Windows Defender具有联网后自动升级补丁的能力,故普通用户只需要联网等待Windows Defender自动更新即可。关于该漏洞的官方安全通告如下:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
参考资料
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
