Illusion Gap漏洞:惡意文件可繞過Windows Defender

2020-12-11 太平洋電腦網

根據網絡安全公司CyberArk近期發布的安全通告,在服務信息塊(SMB)協議共享中Windows Defender的文件掃描進程中發現漏洞,允許攻擊者利用受控的惡意SMB服務來引導用戶執行文件,目前該漏洞並命名為「Illusion Gap」。

Windows系統通常會發出兩個可執行拷貝的請求,其中一個觸發程序並為此創建進程;第二則是用於Windows Defender,用於掃描惡意內容。

而這就是問題所在。SMB 伺服器 能夠區分兩種請求,而通過受控的SMB伺服器,攻擊者能夠通過配置發送兩個完全不同的文件。這就意味著Windows PE Loader能夠接受惡意文件,而發送給Windows Defender是乾淨的。很顯然,這種繞過漏洞在未來可能會衍生出更大的危害。

相關焦點

  • regsvr32繞過(二)
    我們看一下具體是哪裡出了問題,查看windows defender的詳細:這裡先不探究AMSI的繞過問題,只討論執行的問題。之前已經分享過了一些繞過手法,這裡只討論之前沒說過的手法即調用scrobj.dll 的 DllInstall實現代碼執行。
  • 通過修改組策略徹底關閉win10系統自帶的windows defender
    昨天給大家介紹了手動關閉win10系統自帶的windows defender殺毒軟體的教程,雖然教程可用,但是不能起到徹底關閉的作用,當windows
  • UEFI存零日漏洞可繞過Windows安全功能
    UEFI存零日漏洞可繞過Windows安全功能 2016年07月04日 09:19作者:cnBeta編輯:李佳輝     統一的可擴展固件接口(UEFI
  • PHP 文件包含漏洞姿勢總結
    PHP 的函數引入文件時,由於傳入的文件名沒有經過合理的校驗,從而操作了預想之外的文件,就可能導致意外的文件洩露甚至惡意的代碼注入。分類文件包含漏洞可以分為 RFI (遠程文件包含)和 LFI(本地文件包含漏洞)兩種。而區分他們最簡單的方法就是 php.ini 中是否開啟了allow_url_include。如果開啟 了我們就有可能包含遠程文件。
  • Golang XML解析器漏洞可引發SAML 認證繞過
    Golang XML解析器漏洞可引發SAML認證繞過 12月14日,Mattermost與Golang團隊發布了3個Go 語言XML 解析器安全漏洞。漏洞影響多個基於Go 的SAML 實現,可能引發完整的SAML 認證繞過。
  • 微信支付的JAVA SDK存在漏洞,可導致商家伺服器被入侵(繞過支付)
    今日,白帽匯安全研究院關注到國外安全社區公布微信支付官方SDK存在嚴重漏洞,可導致商家伺服器被入侵(繞過支付的效果)。目前,漏洞詳細信息以及攻擊方式已被公開,影響範圍巨大(已確認陌陌、vivo因使用該SDK而存在該漏洞),建議用到JAVA SDK的商戶快速檢查並修復。
  • PHP一些常見的漏洞梳理
    這個調用過程稱為文件包含。為了使代碼更靈活,將被包含的文件設置為變量用來進行動態調用。這就導致客戶端可以調用一個惡意文件,造成文件包含漏洞。文件包含漏洞在php中居多。造成執行任意代碼、包含惡意文件控制網站、敏感文件讀取等危害1.常見包含函數include():執行到include時才包含文件,找不到被包含文件時產生警告,但是腳本繼續執行。
  • Windows Defender Antivirus曝新漏洞
    本周微軟剛剛自豪地公布其Windows 10版Windows Defender Antivirus成為第一個能在沙箱中執行的殺毒軟體,安全研究人員就發現了Windows Defender Antivirus上暴露出的新漏洞。
  • 感染Windows最常見的惡意電子郵件附件
    該下載實際上是安裝BazarLoader的可執行文件,如下所示。 感染後,Dridex將下載不同的模塊,這些模塊可用於竊取密碼,提供對計算機的遠程訪問或執行其他惡意活動。當Dridex進入到網絡時,通常會導致部署BitPaymer或Dridex勒索軟體攻擊。另一種名為WastedLocker的勒索軟體也與Dridex有關,但一家網絡安全公司不同意這些評估。
  • PHP文件包含漏洞利用思路與Bypass總結手冊(完結)
    那麼該怎麼去繞過這個限制呢,一般做法是逆過程,既然他選擇了編碼或加密,我們就可以嘗試著利用解碼或解密的手段還原真實session,然後再去包含,這個時候就能夠將惡意的session信息包含利用成功。很多時候伺服器上的session信息會由base64編碼之後再進行存儲,那麼假如存在本地文件包含漏洞的時候該怎麼去利用繞過呢?下面通過一個案例進行講解與利用。
  • 小丑惡意軟體應用再次繞過Google的安全性檢測,通過Play商店傳播
    在今天由Check Point研究機構發布的一份報告中,該惡意軟體(臭名昭著的稱為Joker(或Bread))發現了另一個繞過Google Play商店保護的技巧:將應用程式內部的惡意DEX可執行文件模糊化為Base64編碼的字符串,然後對其進行解碼和已加載到受感染設備上。
  • AppLocker繞過之路
    由於此實用程序是Microsoft籤名的二進位文件,因此可以用來繞過AppLocker限制來運行任何.NET可執行文件。該實用程序也位於Windows文件夾內,該文件夾不會應用AppLocker策略,因為需要執行Windows文件夾的內容才能使系統正常運行。
  • 深入解讀:Windows HTTP.sys遠程代碼執行漏洞跟蹤進展
    2014-11-11,IIS安全功能繞過漏洞(MS14-076)(CVE-2014-4078)描述:IIS 8.0/8.5版本的IP安全功能沒有根據"IP Address and Domain Restrictions"列表正確處理進站Web請求,這可使遠程攻擊者通過HTTP請求,利用此漏洞繞過目標規則。2.
  • 建築公司遭黑客入侵,Autodesk 3ds Max的惡意插件為元兇
    不過,最近就有黑客組織利用了3ds Max的漏洞來入侵一家國際知名的建築公司。發現這次入侵的網絡安全機構Bitdefender並沒有指出是哪家公司遭到了入侵,但是表示這家公司與紐約、倫敦、澳洲以及阿曼的一些房地產項目都有幾十億美元的合作。
  • iOS7.1.1現新漏洞:繞過鎖屏訪問通訊錄
    國外用戶稱,新系統中可讓任何人輕鬆繞過鎖屏密碼訪問通訊錄,並可直接撥打電話或發送簡訊。iOS7.1.1現新漏洞(圖片來自新浪)    國外用戶反映,目前iOS 7.1.1可在鎖屏情況下繞過解鎖密碼直接訪問通訊錄,而方法則非常簡單,就是通過語音助手Siri。
  • 迪普科技:慧眼識漏洞之【後門漏洞】
    慧眼幫您識漏洞。  後門持久又隱蔽,繞過認證和加密。  執行代碼傳文件,注入程序來攻擊。  漏洞補丁常升級,可疑文件不接收。  實時關注新動態,慧眼快速來排查。  後門  後門是一種繞過認證或系統加密來獲取系統訪問權的方法。
  • RFI巧用WebDAV繞過URL包含限制Getshell
    用一個簡單的例子構造一個含有文件包含漏洞的Demo,演示一下遠程文件包含漏洞的利用,代碼如下:<?由於,文件包含函數加載的參數file沒有經過任何的過濾或者嚴格的定義,可以由攻擊者進行控制發起惡意的請求,包含其它惡意文件,從而讓應用程式執行攻擊者精心準備的惡意腳本,具體如下:<?php @eval($_POST['Qftm']);?
  • PHP文件包含漏洞利用思路與Bypass總結手冊(三)
    繞過姿勢我們平常很多時候碰到的情況肯定不會是簡單的include $_GET['file'];這樣直接把變量傳入包含函數的。在很多時候包含的變量/文件不是完全可控的。下面就看看有哪些方式可以繞過這個限制。
  • 惡意軟體Xagent出現了新的版本 Mac用戶被盯上了
    殺毒軟體公司 Bitdefender 在最近發布的博客中指出,Xagent 此前主要攻擊 Windows、iOS、Android 和 Linux 設備,但如今 Mac 面對它的攻擊也毫無抵抗之力。這是首個能夠攻擊 Mac 的 Xagent 惡意軟體。
  • disable_functions繞過總結
    disable_functions其實是一個黑名單機制,我們可以通過觀察是否存在可利用的漏網之魚,直接通過其實現繞過即可。如果啟用了rsh和ssh功能並且rsh命令是ssh命令的符號連結,則攻擊者可以通過向目標系統發送包含-oProxyCommand參數的惡意IMAP伺服器名稱來利用此漏洞。成功的攻擊可能允許攻擊者繞過其他禁用的exec 受影響軟體中的功能,攻擊者可利用這些功能在目標系統上執行任意shell命令。