作为Windows系统的一道安全防线,微软反病毒引擎却被谷歌研究人员曝出存在“最可怕的远程漏洞”,可以引发蠕虫级攻击,影响Windows Defender、MSE、Forefront等微软全线安全产品。目前,微软官方已紧急修复此漏洞(编号:CVE-2017-0290),提示用户进行安全更新。
该漏洞由全球著名“黑客天团”Google Project Zero发现并报告给微软。在2016年的PoC国际安全会议上,Pwn2Own世界黑客大赛冠军360Vulcan团队在介绍攻破所有浏览器沙盒的“隔山打牛”攻击技术时,也披露过相关攻击面并演示了一个类似的漏洞。
微软反病毒引擎全称为Microsoft Malware Protection Engine,它被默认安装在Windows 8及以上版本的系统中,Win7等老版本也可能随着系统更新而被安装。由于该引擎在实现机制上存在严重漏洞,攻击者只要发送一个文件触发微软反病毒引擎的检测,就能以最高权限执行任意命令,完全控制系统。这意味着Windows设置的“安检”措施,反而为黑客攻击敞开大门。
由于微软反病毒引擎以系统权限运行在Windows内核中,只要有文件在系统“落地”就会触发该引擎检测,包括网页下载或缓存的文件、邮件附件、聊天传输文件、压缩包解压,甚至PE资源等各种渠道,都能够利用微软反病毒引擎的漏洞控制系统,人们日常上网的所有应用几乎都会暴露在攻击者的火力下,堪称攻击面最大的高危漏洞。
图:微软全线安全产品均受漏洞影响
目前,微软正在通过病毒库更新的方式修复漏洞。鉴于此漏洞的技术细节已经公开,网络管理员和Windows用户应采取应对措施:个人用户可通过软件界面查看Windows Defender和MSE的引擎版本,如果版本号低于1.1.13701.0,应立即手动更新。如短期内无法更新,可以在系统的服务管理器中关闭相关服务;企业网络管理员如果配置了自动更新和部署,该更新会在48小时内生效,否则应手动更新微软反病毒引擎。
