Microsoft修复Windows恶意软件保护引擎中的远程黑客漏洞.远程控制软件,远程控制

admin

Microsoft修复Windows恶意软件保护引擎中的远程黑客漏洞.远程控制软件,远程控制
攻击者可以利用此漏洞来破坏运行受影响的Microsoft安全产品的Windows系统，包括Windows Defender和Microsoft Security Essentials。

Microsoft已经发布了与大多数Windows安全产品捆绑的恶意软件扫描引擎的更新，以修复可能允许攻击者窃取计算机的高度关键的漏洞。

这个漏洞是由Google Project Zero研究人员Tavis Ormandy和Natalie Silvanovich星期六发现的，并且对于微软在星期一之前创建和发布补丁是足够认真的。对于该公司来说，这是一个非常快速的反应，通常在每个月的第二个星期二发布安全更新，很少会突破这个周期。

Ormandy星期六在Twitter上宣布，他和他的同事在Windows中发现了一个“疯狂的坏”漏洞，并将其描述为“最近的内存中最糟糕的Windows远程代码执行”。

当时，研究人员没有透露任何其他细节，这些缺陷将允许其他人确定其位置，但表示潜在的漏洞将影响Windows安装在其默认配置中，并可能自我传播。

根据星期一发布的Microsoft安全公告，当Microsoft恶意软件防护引擎扫描特制文件时，可以触发此漏洞。 Windows Defender使用的引擎是Windows 7及更高版本上预装的恶意软件扫描器，以及其他Microsoft消费者和企业安全产品：Microsoft Security Essentials，Microsoft Forefront Endpoint Protection 2010，Microsoft Endpoint Protection，Microsoft Forefront Security for SharePoint Service Pack 3，Microsoft System Center Endpoint Protection和Windows Intune Endpoint Protection。

桌面和服务器Windows部署可能面临风险，特别是在受影响的安全产品中启用实时保护时。通过实时保护，恶意软件保护引擎在文件系统出现时立即自动检查文件，而不是在计划或手动触发扫描操作期间处理文件。

根据Google Project Zero对此漏洞的描述，只有存在任何形式的特制文件以及计算机上任何扩展名可能会触发剥削。这包括未打开的电子邮件附件，未完成的下载，浏览器缓存的临时Internet文件，甚至提交到运行Internet信息服务（IIS）的基于Windows的Web服务器上托管的网站的用户内容。

由于Microsoft恶意软件保护引擎以LocalSystem特权运行，因此成功利用此漏洞可能允许黑客完全控制底层操作系统。据微软称，攻击者可以“安装程序;查看，更改或删除数据;或创建具有完全用户权限的新帐户”。

用户应检查其产品中使用的Microsoft恶意软件防护引擎版本是否为1.1.10701.0或更高版本。将修补程序传播到配置为自动更新的产品最多可能需要48小时，但用户也可以触发手动更新, 远程控制, 灰鸽子。

“企业反恶意软件部署管理员应确保其更新管理软件配置为自动批准和分发引擎更新和新的恶意软件定义，”Microsoft在其咨询中说。 “企业管理员还应该验证最新版本的Microsoft恶意软件保护引擎和定义更新正在其环境中被积极下载，批准和部署。