• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 應用
  • -
    • Windows Defender 遠程代碼執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2021-31985
    • 漏洞類型: 遠程代碼執(zhí)行
    • 威脅類型:本地
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-07-12
    • 更新時間:2021-07-12

    漏洞簡介

    1、組件介紹

    Windows Defender,曾用名Microsoft Anti Spyware,殺毒程序,可以運行在Windows XP和Windows Server 2003操作系統(tǒng)上,并已內置在Windows Vista、Windows 7、Windows 8、Windows 8.1和Windows10中。

    2、漏洞描述

    2021年7月8日,深信服安全團隊監(jiān)測到一則Windows Defender組件存在遠程代碼執(zhí)行漏洞的信息,漏洞編號:CVE-2021-31985 ,漏洞威脅等級:高危。

    該漏洞是由于Windows Defender在檢測文件時,如果該文件是惡意構造的則可以導致該文件中代碼的執(zhí)行。攻擊者可利用該漏洞在未授權的情況下,構造惡意數據執(zhí)行代碼注入攻擊,最終獲取服務器最高權限。

    漏洞公示

     搭建Windows組件Win10 1803版本環(huán)境,復現該漏洞,效果如下:

     惡意文件未放入 Win10 之前:


    將惡意文件放入系統(tǒng)中,Windows Defender 崩潰。


    參考網站

    暫無

    受影響實體

    Windows系統(tǒng)作為當下最流行、使用最為廣泛的操作系統(tǒng),在全球各個地區(qū)都有相當大的使用量,中美兩國是使用Windows系統(tǒng)最多的兩個國家。


    目前受影響的Windows版本:

    Windows Defender <= 1.1.18200.3 

    補丁

    1、如何檢測組件系統(tǒng)版本

    訪問Windows安全中心,在設置-關于中查看對應的Windows Defender版本。若Windows Defender 關閉,則不受此漏洞影響。


    2、官方修復建議

    當前官方已發(fā)布受影響版本的對應補丁,建議受影響的用戶及時更新官方的安全補丁。微軟不提供Windows Defender 的離線補丁包,需用戶自行連接互聯網,Windows Defender會自動進行更新。

    3、臨時修復建議

    若用戶不連接互聯網,則可以在 Windows 安全中心中關閉 Windows Defender 。

    注意:若沒有使用其它主機側安全產品,關閉Windows Defender 可能會增加主機遭受攻擊的風險。

    4、深信服解決方案

    深信服EDR】深信服EDR輕補丁已支持防護,無需重啟,一鍵防護:、

    ● 無需下載補丁、重啟服務,過程輕量化

    ● 自動修復高危漏洞,無感知快速修復,保障業(yè)務連續(xù)性

    ● 支持停更Windows系統(tǒng)高危漏洞、最新0day漏洞防護

    ● 基于內存修復,節(jié)省性能,管理平臺可統(tǒng)一控制

    深信服EDR】深信服EDR已支持針對該漏洞的在野樣本檢測:

    ● 確保病毒庫更新至最新版本

    ● 集成深信服SAVE人工智能檢測引擎,擁有強大的泛化能力,精準防御未知病毒

    ● 接入安全云腦,即可使用云查服務及時檢測防御新威脅

    EDR3.2.10及以上版本需要升級相應的SP包,更新漏洞補丁規(guī)則庫版本到20210706195338及以上版本,即可檢測漏洞并分發(fā)補丁進行漏洞修復。聯網用戶可直接在線更新,離線升級包及漏洞補丁規(guī)則庫已上傳至深信服社區(qū),有需要的用戶請到深信服社區(qū)下載。