Windows Defender RCE漏洞(CVE-2021-1647)预警更新

  • A+
所属分类:安全漏洞

Windows Defender RCE漏洞(CVE-2021-1647)预警更新

长按二维码关注

腾讯安全威胁情报中心


腾讯安全团队发现多个使用了Windows Defender RCE漏洞(CVE-2021-1647 )的攻击样本在野外出现,样本实现了完整的利用过程,无需用户点击就能完成任意代码执行。同时该样本非常容易修改其Shellcode使其他攻击者进行二次利用,腾讯安全团队已验证在野exp样本的有效性:

 

漏洞分析

我们发现该exp使用了Defender核心模块mpengine.dll中的一处堆溢出漏洞,如下图,malloc_base处申请的内存过小,导致下面的循环处理时发生了越界写的问题:

Windows Defender RCE漏洞(CVE-2021-1647)预警更新


申请的缓冲区大小:

Windows Defender RCE漏洞(CVE-2021-1647)预警更新


后续使用时发生的越界:

Windows Defender RCE漏洞(CVE-2021-1647)预警更新

补丁分析

Defender版本更新后改动较大,在漏洞上下文中我们发现新增的一处对malloc_base参数的检测可以缓解此漏洞,补丁前后如图:

Windows Defender RCE漏洞(CVE-2021-1647)预警更新

安全解决方案

腾讯安全专家建议Windows Defender的用户及时升级修补漏洞,避免点击来历不明的邮件中附带的可疑链接和可疑文档。推荐企业用户使用腾讯T-Sec零信任无边界访问控制系统(iOA)修复漏洞个人用户可使用腾讯电脑管家的漏洞修复功能或Windows安全更新修复漏洞。


Windows Defender RCE漏洞(CVE-2021-1647)预警更新

Windows Defender RCE漏洞(CVE-2021-1647)预警更新

Windows Defender RCE漏洞(CVE-2021-1647)预警更新

本文始发于微信公众号(腾讯安全威胁情报中心):Windows Defender RCE漏洞(CVE-2021-1647)预警更新

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: