Windows Defender RCE漏洞(CVE-2021-1647)预警更新

2021-01-15 11:33:30
腾讯安全团队发现多个使用了Windows Defender RCE漏洞(CVE-2021-1647 )的攻击样本在野外出现,样本实现了完整的利用过程,无需用户点击就能完成任意代码执行,同时该样本非常容易修改其Shellcode使其他攻击者进行二次利用.

腾讯安全团队发现多个使用了 Windows Defeder RCE漏洞(CVE-2021-1647)的攻击样本在野外出现,样本实现了完整的利用过程,无需用户点击就能完成任意代码执行,同时该样本非常容易修改其Shellcode使其他攻击者进行二次利用,腾讯安全团队已验证在野exp样本的有效性:

[视频]

漏洞分析:

我们发现该exp使用了Defender核心模块mpengine.dll中的一处堆溢出漏洞,如下图,malloc_base处申请的内存过小,导致下面的循环处理时发生了越界写的问题:


申请的缓冲区大小:


后续使用时发生的越界:


补丁分析:

Defender版本更新后改动较大,在漏洞上下文中我们发现新增的一处对malloc_base参数的检测可以缓解此漏洞,补丁前后如图:


安全解决方案:

腾讯安全专家建议Windows Defender的用户及时升级修补漏洞,避免点击来历不明的邮件中附带的可疑链接和可疑文档。推荐企业用户使用腾讯T-Sec零信任无边界访问控制系统(iOA)修复漏洞,个人用户可使用腾讯电脑管家的漏洞修复功能或Windows安全更新修复漏洞。



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯