0x01 漏洞概述
Windows Defender是Windows自带的防护软件,其在对可执行文件进行检测时采用模拟执行的策略进行黑白判定,模拟执行分为两个部分:指令模拟和运行环境模拟。其中指令模拟会将程序的响应平台指令(arm/mips/x86等)转换成Defender自己的中间指令,然后运行相应的中间指令来模拟执行该文件;而运行环境模拟则是对内存系统、文件系统、系统API、DLL等进行模拟。
Defender在进行指令模拟的时候遇到带壳的可执行文件会使用内置的一些方法尝试脱壳,目前支持脱壳的方式有Upxw64/Upxw/WExtract/NSPacker/Shrinker/PECompact2/Area51/Crypter1337/Aspack/PKLite/SfxCab/Asprotect 等,这次漏洞所在的就是Asprotect壳的脱壳过程中,当攻击者构造一个带有特殊PE头的可执行文件,Windows Defender检测时就会出发缓冲区溢出漏洞进而导致任意代码执行。 作者:极氪安全 https://www.bilibili.com/read/cv11512694/ 出处:bilibili
0x02 漏洞影响
受此漏洞影响的最新版本的Microsoft恶意软件保护引擎 版本1.1.17600.5
注:MpEngine.dll的文件版本低于 1.1.17700.4的都受影响。
漏洞复现
解压已下载的exp.zip
弹出cmd控制台
查看Windows Defender已崩溃
最新版Windows Defender已修复该问题,并识别相关zip为病毒性文件
参考
https://bbs.pediy.com/thread-266313.htm https://www.bilibili.com/read/cv11512694/
请登录后查看回复内容