根據網絡安全公司CyberArk近期發布的安全通告,在服務信息塊(SMB)協議共享中Windows Defender的文件掃描進程中發現漏洞,允許攻擊者利用受控的惡意SMB服務來引導用戶執行文件,目前該漏洞并命名為“Illusion Gap”。
Windows系統通常會發出兩個可執行拷貝的請求,其中一個觸發程序并為此創建進程;第二則是用于Windows Defender,用于掃描惡意內容。
而這就是問題所在。SMB服務器能夠區分兩種請求,而通過受控的SMB服務器,攻擊者能夠通過配置發送兩個完全不同的文件。這就意味著Windows PE Loader能夠接受惡意文件,而發送給Windows Defender是干凈的。很顯然,這種繞過漏洞在未來可能會衍生出更大的危害。
京公網安備 11010502049343號