发布时间: 2017-12-06 | 最后更新 : 2017-12-12 MITRE CVE-2017-11937

显示全部楼层 · 发表于 2017-12-22 15:03:38

当 Microsoft Malware Protection Engine 无法正常扫描经特殊设计的文件而导致内存损坏时，存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在 LocalSystem 帐户的安全上下文中执行任意代码并控制系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

为了利用此漏洞，必须由 Microsoft Malware Protection Engine 的受影响版本扫描经特殊设计的文件。攻击者可以通过多种方式将经特殊设计的文件放置在 Microsoft Malware Protection Engine 扫描的位置。例如，攻击者可以使用网站将经特殊设计的文件传送到受害者的系统，该系统在用户查看该网站时被扫描。攻击者还可以通过文件打开时扫描的电子邮件或即时消息传递经特殊设计的文件。此外，攻击者可以利用接受或托管用户提供的内容的网站，将经特殊设计的文件上传到由宿主服务器上运行的 Malware Protection Engine 扫描的共享位置。

如果受影响的反恶意软件已开启实时保护，则 Microsoft Malware Protection Engine 将自动扫描文件，从而在扫描经特殊设计的文件时导致利用该漏洞。如果未启用实时扫描，则攻击者将需要等待直到发生计划的扫描才能利用该漏洞。主要是运行受影响版本的反恶意软件的所有系统会面临风险。

此更新通过更正 Microsoft Malware Protection Engine 扫描经特殊设计的文件的方式来修复漏洞。

注意：通常情况下，在安装 Microsoft Malware Protection Engine 更新程序时，企业管理员或最终用户无需执行任何操作，因为更新程序内置的自动检测和部署机制将在更新程序发布 48 小时内应用更新程序。准确时间取决于使用的软件、Internet 连接和基础结构配置。

https://bbs.kafan.cn/thread-2110738-1-1.html
此补丁修复了上面提到的漏洞。

>> 详情 https://portal.msrc.microsoft.co ... sory/CVE-2017-11937

————————
找到两个以前的： CVE-2017-0290、CVE-2014-2779 @B100D1E55 还有哪些啊？找不到了……
————————
扫描一个特殊构造的文件，
系统控制权就拱手相让了，
这……

元芳，你怎么看？

显示全部楼层 · 发表于 2017-12-24 13:43:45

https://www.bleepingcomputer.com ... -bad-vulnerability/

https://www.bleepingcomputer.com ... ction-engine-flaws/

https://www.bleepingcomputer.com ... n-windows-defender/

显示全部楼层 · 发表于 2017-12-24 16:20:54

B100D1E55 发表于 2017-12-24 13:43
https://www.bleepingcomputer.com/news/security/microsoft-issues-emergency-out-of-band-update-to-fix- ...

感谢查找资料。
安软漏洞，历史最多记录是谁呢？
WD四个，还有其他的吗？

如果不用WD，使用三方软件，那么系统里面的漏洞是不是要叠加了？

显示全部楼层 · 发表于 2017-12-25 02:00:11

ELOHIM 发表于 2017-12-24 16:20
感谢查找资料。
安软漏洞，历史最多记录是谁呢？
WD四个，还有其他的吗？

我知道Sophos是已经被扒得皮都不剩了……不过也不能简单按已经披露的漏洞数量来判断安全性强弱，安全研究人员不都是活雷锋（也就是就算找到漏洞也不一定想披露，否则就是免费帮厂商找bug），有的厂商对这些漏洞上报态度非常不好也是原因之一

第三方软件的确是会增加漏洞风险，这里的主要问题是要大范围攻击用户就需要找一个占有率高的软件，占有率低的就算找到洞也没有太大的利用价值。所以WD的洞比什么文件重命名小工具的洞要值钱一些

显示全部楼层 · 发表于 2017-12-25 15:02:36

B100D1E55 发表于 2017-12-25 02:00
我知道Sophos是已经被扒得皮都不剩了……不过也不能简单按已经披露的漏洞数量来判断安全性强弱，安全研究 ...

害怕…………

WD就是那衆矢之的。

显示全部楼层 · 发表于 2018-5-8 08:42:20

本想独立发帖吐槽一下，但还是算了，在这里挖个坟吧

上个月微软的恶意软件保护引擎再报漏洞，虽然已经紧急修复，但这漏洞频率也太高了，最近12个月，已经被报多少个了，说不定还有不知道的漏洞没有被修复https://portal.msrc.microsoft.co ... isory/CVE-2018-0986

有漏洞不可怕，可怕的是一个又一个的漏洞出现，这证明微软恶意软件保护引擎的开发不严谨，这真的不太好

显示全部楼层 · 发表于 2018-5-8 08:44:00

驭龙发表于 2018-5-8 08:42
本想独立发帖吐槽一下，但还是算了，在这里挖个坟吧

上个月微软的恶意软件保护引擎再报漏洞，虽然已经紧 ...

这个漏洞是谁发现的？我打不开这个网址。。
别家也有漏洞吧。。。

CPU漏洞，我感觉在这之上。。遥不可望。。

显示全部楼层 · 发表于 2018-5-8 08:50:24

ELOHIM 发表于 2018-5-8 08:44
这个漏洞是谁发现的？我打不开这个网址。。
别家也有漏洞吧。。。

这里有相关信息
https://www.symantec.com/connect ... e-protection-engine

另外这漏洞cve编号跟1楼不同，但好像漏洞极为相似，不知是不是上个漏洞的后续

显示全部楼层 · 发表于 2018-5-8 09:56:30

驭龙发表于 2018-5-8 08:50
这里有相关信息
https://www.symantec.com/connect/articles/critical-vulnerability-microsoft-malware ...

每次新系统发布就会有一些漏洞暴出来说除了最新系统以外，其它全部系统都受影响。

我也麻木了。。

显示全部楼层 · 发表于 2018-5-8 10:00:51

ELOHIM 发表于 2018-5-8 09:56
每次新系统发布就会有一些漏洞暴出来说除了最新系统以外，其它全部系统都受影响。

我也麻木了。。

这WD引擎的漏洞很可怕，开实时监控访问被针对WD的网站，就会中招，甚至是通讯软件也会让WD中招。

上次的漏洞好像也是开实时监控就可能中招，想一想，裸奔是不是比用WD更安全呢？

[新手上路] 发布时间: 2017-12-06 | 最后更新 : 2017-12-12 MITRE CVE-2017-11937

评分

评分