Windows Defender远程代码执行漏洞 (CVE-2021-1647)

声明：该文章由作者（kstest）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

通告概要

2021年01月13日，微软在每月例行补丁日当天修复了一个非常严重的Windows Defender远程代码执行漏洞。而Windows Defender是微软内置在Windows Vista，Windows 7，Windows 8，Windows 8.1和Windows10等操作系统中的默认杀软软件。攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件，从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞，最终控制受害者计算机。而通过微软官方描述，CVE-2021-1647 目前已发现在野利用。

奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞，并确认漏洞可被利用。该漏洞导致的威胁非常严重，不过由于Windows Defender具有联网后自动升级补丁的能力，故该漏洞目前造成的影响已经不大。

漏洞概要

漏洞名称

Microsoft Windows Defender远程代码执行漏洞(CVE-2021-1647)

威胁类型

远程代码执行

威胁等级

严重

漏洞ID

CVE-2021-1647

利用场景

攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件，从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞，最终控制受害者计算机。

受影响系统及应用版本

Windows Defender恶意软件保护引擎1.1.17600.5及之前的版本

漏洞描述

Windows Defender 在利用内置模拟执行组件扫描可执行文件时，存在一处堆溢出漏洞。攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件，从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞，最终控制受害者计算机。

影响面评估

该漏洞导致的威胁非常严重，不过由于Windows Defender具有联网后自动升级补丁的能力，故该漏洞当前造成的危害影响已经不大。

处置建议

针对该漏洞，微软已发布相关补丁更新，且Windows Defender具有联网后自动升级补丁的能力，故普通用户只需要联网等待Windows Defender自动更新即可。关于该漏洞的官方安全通告如下：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647

参考资料

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/