CVE-2020-0601已经爆出1周啦,各厂商都发表了相关文章,吹的铺天盖地的,真实防御情况是啥样的,今天来看看各大厂商的的程序猿是不是都忙着回家过年,有没有跟进这个漏洞。为了保证公平的评测,选取较早曝光的样本,看看各大厂是否有跟进,在选取一些新曝光的样本,看看各大厂检测新样本的如何。
首先我们进行第一个测试,较早上传的样本已经被多数的国内外厂商检测到 例如:2E66B95B1F1ACACE2491B2CDAB90A56359EC86111C25FA4E2AA1315FBD6AFBDE 最早上传时间为2020-01-19T11:58:03 UTC,目前的检出情况如下图↓↓↓ 已经超过28家大厂可以检出啦,国内的各大厂商都已经跟进,看来各位程序猿都在加班加点干活。点个赞
第二项测试:我们从最新的曝光的样本VT检测来看: 例如:cafab2f2cde74f6017768fc8a0a35e504ffc2249af8f8cbc4fc243f1999fa991 最早上传时间: 2020-01-2205:16:15 UTC, 检出情况如下图↓↓↓
只有16家大厂可以有效检出,相比于之前卡巴斯基、微软、安天、飞塔 、ZoonAlarm byCheck Point、McAfee等第一时间可以检测厂商外,BitDefender、ESET-NOD32等厂商迅速跟进,还有一些跟BD大哥报一样名字的厂商,看来是他的小弟们也因为大哥的福利可以检测啦,还有一些报很奇怪名字的厂商,不知道他们要告诉我什么。
通过前后对比,不难发现其中秘密,一些大厂可能为了回家办年货,用特征完成检测,没有对漏洞机理进行研究和针对性的检测,企图靠这个完成老板交代的工作。罚200
你以为这就完啦? 在验证过程中还发现了一个特别的漏洞样本, f92ed3b257fbd2d886715a3a78307fbb1f0a85919b2f80196121452a9a750b55 这个样本不能被BD、卡巴斯基等大厂检出,经过与之前的样本检出结果进行的对比,这可能出现了一个新类型的漏洞溢出样本,从这个样本来看,只有少部分大厂是基于漏洞机理检测的,且检测相对稳定。 BD、卡巴斯基等大哥不过春节,提取的特征质量就是好,不知道他们是否也是从机理进行检测,还需要进一步验证。
| 
发表于 2020-1-22 21:46:17
楼主
