根据网络安全公司CyberArk近期发布的安全通告,在服务信息块(SMB)协议共享中Windows Defender的文件扫描进程中发现漏洞,允许攻击者利用受控的恶意SMB服务来引导用户执行文件,目前该漏洞并命名为“Illusion Gap”。
Windows系统通常会发出两个可执行拷贝的请求,其中一个触发程序并为此创建进程;第二则是用于Windows Defender,用于扫描恶意内容。
而这就是问题所在。SMB服务器能够区分两种请求,而通过受控的SMB服务器,攻击者能够通过配置发送两个完全不同的文件。这就意味着Windows PE Loader能够接受恶意文件,而发送给Windows Defender是干净的。很显然,这种绕过漏洞在未来可能会衍生出更大的危害。
京公网安备 11010502049343号