12 月 12 日消息,SafeBreach 安全研究員 Yair 最近發布了一個概念驗證程序 (POC),展示了如何誘使安全防護軟件擦除或永久刪除您 PC 上的無害文件。
據介紹,POC 被稱為“合氣道”,也就是同名武術中的精要所在 ——“以柔克剛”“借勁使力”,用對手的攻擊手段擊敗對手。
目前微軟已經承認 Defender 中存在漏洞并且宣布已修補。
不過其他幾大殺軟,如 Avast、AVG 和 TrendMicro 等也被證實會受到此漏洞的影響,而 McAfee 和 BitDefender 等產品則不受影響。
Yair 解釋稱,POC 基于一種的檢查時間到使用時間 (TOCTOU) 的漏洞。
當殺軟檢測到這種文件時會將其確定為惡意文件,然后將其刪除。使用 TOCTOU 的 POC 可以在殺軟檢測到惡意軟件后導入備用路徑,然后致使電腦刪除你的合法文件而不僅是惡意文件,甚至 Windows 系統文件。
下面簡要描述了這些步驟:
在 C:\temp\Windows\System32\drivers\ndis.sys 中創建帶有惡意文件的特殊路徑
固定其路徑并強制 EDR 或 AV 將刪除操作推遲到下一次重啟之后
刪除 C:\temp 目錄
創建連接 C:\temp → C:\
重啟
有趣的是,對于 Defender 和 Defender for Endpoint,Yair 注意到 Defender 沒有刪除文件而是直接刪除了文件夾。IT之家了解到,微軟已為此漏洞分配了 ID“ CVE-2022-37971 ”的編號,并已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修復。
同時,TrendMicro、Avast 和 AVG 也發布了各自產品的補丁:
TrendMicro Apex One:修補程序 23573 和 Patch_b11136
Avast 和 AVG 殺毒軟件:22.10
