IT之家12月12日消息,SafeBreach安全研究员Yair最近发布了一个概念验证程序(POC),展示了如何诱使安全防护软件擦除或永久删除您PC上的无害文件。
据介绍,POC被称为“合气道”,也就是同名武术中的精要所在——“以柔克刚”“借劲使力”,用对手的攻击手段击败对手。
目前微软已经承认Defender中存在漏洞并且宣布已修补。
不过其他几大杀软,如Avast、AVG和TrendMicro等也被证实会受到此漏洞的影响,而McAfee和BitDefender等产品则不受影响。
Yair解释称,POC 基于一种的检查时间到使用时间(TOCTOU)的漏洞。
当杀软检测到这种文件时会将其确定为恶意文件,然后将其删除。使用TOCTOU的POC可以在杀软检测到恶意软件后导入备用路径,然后致使电脑删除你的合法文件而不仅是恶意文件,甚至Windows系统文件。
下面简要描述了这些步骤:
在C:\temp\Windows\System32\drivers\ndis。sys中创建带有恶意文件的特殊路径
按住它的手柄并强制EDR或AV将删除操作推迟到下一次重启之后
删除C:\temp目录
创建连接C:\temp → C:\
重启
有趣的是,对于Defender和DefenderforEndpoint,Yair注意到Defender没有删除文件而是直接删除了文件夹。IT之家了解到,微软已为此漏洞分配了ID“ CVE-2022-37971”的编号,并已在最新的MicrosoftMalwareProtectionEngine版本1.1.19700.2中修复。
同时,TrendMicro、Avast和AVG也发布了各自产品的补丁:
TrendMicroApexOne:修补程序23573和Patch_b11136
Avast和AVG杀毒软件:22.10
