长按二维码关注
腾讯安全威胁情报中心
腾讯安全团队发现多个使用了Windows Defender RCE漏洞(CVE-2021-1647 )的攻击样本在野外出现,样本实现了完整的利用过程,无需用户点击就能完成任意代码执行。同时该样本非常容易修改其Shellcode使其他攻击者进行二次利用,腾讯安全团队已验证在野exp样本的有效性:
漏洞分析
我们发现该exp使用了Defender核心模块mpengine.dll中的一处堆溢出漏洞,如下图,malloc_base处申请的内存过小,导致下面的循环处理时发生了越界写的问题:
申请的缓冲区大小:
后续使用时发生的越界:
补丁分析
Defender版本更新后改动较大,在漏洞上下文中我们发现新增的一处对malloc_base参数的检测可以缓解此漏洞,补丁前后如图:
安全解决方案
腾讯安全专家建议Windows Defender的用户及时升级修补漏洞,避免点击来历不明的邮件中附带的可疑链接和可疑文档。推荐企业用户使用腾讯T-Sec零信任无边界访问控制系统(iOA)修复漏洞,个人用户可使用腾讯电脑管家的漏洞修复功能或Windows安全更新修复漏洞。
本文始发于微信公众号(腾讯安全威胁情报中心):Windows Defender RCE漏洞(CVE-2021-1647)预警更新
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论