谷歌黑客找到了一种绕过Microsoft Windows Defender的新方法

这 Google Project Zero expert Tavis Ormandy has found a flaw in Windows Defender that allow attackers to bypass the Microsoft anti-virus tool.

流行的Google Project Zero Hacker Tavis Ormandy在Windows Defender中发现了一个新的错误,允许攻击者规避Microsoft Anti-Virus工具。

在Microsoft发布的软件发布A后,ormandy公开披露了Windows Defender中漏洞的消息。 Ormandy于6月9日报告了对微软的脆弱性。

这 vulnerability resides is in the non-sandboxed x86 emulator Windows Defender uses.

专家解释说“apicall”指令可以调用与系统权限运行的内部仿真器API,不幸的是,默认情况下,它被暴露于远程攻击。

这 hacker discovered a heap corruption issue in the kernel32.dll!vfs_write api。

“我讨论了微软’s “Apicall.”可以调用大量内部仿真器的指令 蜜蜂 并且在所有最近版本的Windows中默认暴露于远程攻击者。我问微软如果是故意暴露的话,他们回答了“The Apicall. 出于多种原因暴露指令”,所以这是故意的。” 写道ormandy.

“此完整系统x86仿真器运行为系统,默认情况下启用Unsdboxed,并攻击者远程访问。我在写作时快速刺伤了 fuzzer. 并立即在Kernel32.dll中找到堆腐败!VFS_WRITE API,我怀疑这从未被击败过。”

在泄露错误后,Ormandy发布了一个最小的testCase来利用该错误:

MPAPICALL(“NTDLL.DLL”, “VFS_Write”,1,buf,0,0xffffffff,0);
MPAPICALL(“NTDLL.DLL”, “VFS_Write”,1,buf,0x7ff,0x41414141,0);

“第一个调用将文件的长度扩展到Noffset,但由于NumberOfbytes参数为0,因此不分配空格。然后,您可以将任意数据读取和写入任意偏移到变型字段对象缓冲区。这是一个非常强大的利用原始,并且剥削似乎并不困难。” he added.

Microsoft发布了固定版本的恶意软件保护引擎,版本1.1.13903.0。

皮奈里格帕加尼尼

[Adrotate Group =”7″]

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请