- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2021-31985
- 漏洞类型: 远程代码执行
- 威胁类型:本地
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-07-12
- 更新时间:2021-07-12
漏洞简介
1、组件介绍
Windows Defender,曾用名Microsoft Anti Spyware,杀毒程序,可以运行在Windows XP和Windows Server 2003操作系统上,并已内置在Windows Vista、Windows 7、Windows 8、Windows 8.1和Windows10中。
2、漏洞描述
2021年7月8日,深信服安全团队监测到一则Windows Defender组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-31985 ,漏洞威胁等级:高危。
该漏洞是由于Windows Defender在检测文件时,如果该文件是恶意构造的则可以导致该文件中代码的执行。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行代码注入攻击,最终获取服务器最高权限。
漏洞公示
搭建Windows组件Win10 1803版本环境,复现该漏洞,效果如下:
恶意文件未放入 Win10 之前:
将恶意文件放入系统中,Windows Defender 崩溃。
参考网站
受影响实体
Windows系统作为当下最流行、使用最为广泛的操作系统,在全球各个地区都有相当大的使用量,中美两国是使用Windows系统最多的两个国家。
目前受影响的Windows版本:
Windows Defender <= 1.1.18200.3
补丁
1、如何检测组件系统版本
访问Windows安全中心,在设置-关于中查看对应的Windows Defender版本。若Windows Defender 关闭,则不受此漏洞影响。
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。微软不提供Windows Defender 的离线补丁包,需用户自行连接互联网,Windows Defender会自动进行更新。
3、临时修复建议
若用户不连接互联网,则可以在 Windows 安全中心中关闭 Windows Defender 。
注意:若没有使用其它主机侧安全产品,关闭Windows Defender 可能会增加主机遭受攻击的风险。
4、深信服解决方案
【深信服EDR】深信服EDR轻补丁已支持防护,无需重启,一键防护:、
● 无需下载补丁、重启服务,过程轻量化
● 自动修复高危漏洞,无感知快速修复,保障业务连续性
● 支持停更Windows系统高危漏洞、最新0day漏洞防护
● 基于内存修复,节省性能,管理平台可统一控制
【深信服EDR】深信服EDR已支持针对该漏洞的在野样本检测:
● 确保病毒库更新至最新版本
● 集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒
● 接入安全云脑,即可使用云查服务及时检测防御新威胁
EDR3.2.10及以上版本需要升级相应的SP包,更新漏洞补丁规则库版本到20210706195338及以上版本,即可检测漏洞并分发补丁进行漏洞修复。联网用户可直接在线更新,离线升级包及漏洞补丁规则库已上传至深信服社区,有需要的用户请到深信服社区下载。
