CVE-2021-1647 Windows Defender缓冲区溢出导致的任意代码执行漏洞复现
0x01 漏洞概述
Windows Defender是Windows自带的防护软件,其在对可执行文件进行检测时采用模拟执行的策略进行黑白判定,模拟执行分为两个部分:指令模拟和运行环境模拟。其中指令模拟会将程序的响应平台指令(arm/mips/x86等)转换成Defender自己的中间指令,然后运行相应的中间指令来模拟执行该文件;而运行环境模拟则是对内存系统、文件系统、系统API、DLL等进行模拟。
Defender在进行指令模拟的时候遇到带壳的可执行文件会使用内置的一些方法尝试脱壳,目前支持脱壳的方式有Upxw64/Upxw/WExtract/NSPacker/Shrinker/PECompact2/Area51/Crypter1337/Aspack/PKLite/SfxCab/Asprotect 等,这次漏洞所在的就是Asprotect壳的脱壳过程中,当攻击者构造一个带有特殊PE头的可执行文件,Windows Defender检测时就会出发缓冲区溢出漏洞进而导致任意代码执行。
0x02 影响版本
-Microsoft:Microsoft Defender:Windows 8.1 for 32-bit systems
-Microsoft:Microsoft Defender:Windows 7 for x64-based Systems Service Pack 1
-Microsoft:Microsoft Defender:Windows 7 for 32-bit Systems Service Pack 1
-Microsoft:Microsoft Defender:Windows Server 2016 (Server Core installation)
-Microsoft:Microsoft Defender:Windows Server 2016
-Microsoft:Microsoft Defender:Windows 10 Version 1607 for x64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1607 for 32-bit Systems
-Microsoft:Microsoft Defender:Windows 10 for x64-based Systems
-Microsoft:Microsoft Defender:Windows 10 for 32-bit Systems
-Microsoft:Microsoft Defender:Windows Server, version 20H2 (Server Core Installation)
-Microsoft:Microsoft Defender:Windows 10 Version 20H2 for ARM64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 20H2 for 32-bit Systems
-Microsoft:Microsoft Defender:Windows 10 Version 20H2 for x64-based Systems
-Microsoft:Microsoft Defender:Windows Server, version 2004 (Server Core installation)
-Microsoft:Microsoft Defender:Windows 10 Version 2004 for x64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 2004 for ARM64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 2004 for 32-bit Systems
-Microsoft:Microsoft Defender:Windows Server, version 1909 (Server Core installation)
-Microsoft:Microsoft Defender:Windows 10 Version 1909 for ARM64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1909 for x64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1909 for 32-bit Systems
-Microsoft:Microsoft Defender:Windows Server 2019 (Server Core installation)
-Microsoft:Microsoft Defender:Windows Server 2019
-Microsoft:Microsoft Defender:Windows 10 Version 1809 for ARM64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1809 for x64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1809 for 32-bit Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1803 for ARM64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1803 for x64-based Systems
-Microsoft:Microsoft Defender:Windows 10 Version 1803 for 32-bit Systems
-Microsoft:Microsoft System Center 2012 Endpoint Protection
-Microsoft:Microsoft Security Essentials
-Microsoft:Microsoft System Center 2012 R2 Endpoint Protection
-Microsoft:Microsoft System Center Endpoint Protection
-Microsoft:Microsoft Defender:Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
-Microsoft:Microsoft Defender:Windows Server 2008 for 32-bit Systems Service Pack 2
-Microsoft:Microsoft Defender:Windows RT 8.1
-Microsoft:Microsoft Defender:Windows 8.1 for x64-based systems
-Microsoft:Microsoft Defender:Windows Server 2012 R2 (Server Core installation)
-Microsoft:Microsoft Defender:Windows Server 2012 R2
-Microsoft:Microsoft Defender:Windows Server 2012 (Server Core installation)
0x03 环境搭建
1.安装VMware workstation虚拟机(本此复现VMware workstation版本为15版本)
2.在虚拟机上安装 Windows10 1903 靶机(或上述任一受影响版本)
3.下载POC程序
为了确保Windows Defender没有更新(可以采取断网措施防止后续更新)
0x04 漏洞复现
1.启动Windows 10虚拟机;
2.将含有POC程序的压缩包复制到靶机任意位置;
3.直接右键对该文件进行解压;
4.解压后就能弹一个system权限的命令行窗口出来,因为Windows Defender在文件被从压缩包里解压出来的时候就会检查这几个新文件,发现是加壳的可执行文件就会让引擎脱壳,其中的溢出漏洞就会触发,进而达到任意命令执行的目的;
5.同时Windows Defender也会发生崩溃,并在数十秒后自动重新启动。
0x05 防护建议
Windows联网,打开Windows Defender防护中心手动点击更新Windows Defender,并保持Windows自动更新开启,或通过第三方安全防护软件的相关补丁功能进行补丁安装。
CVE-2021-1647 Windows Defender缓冲区溢出导致的任意代码执行漏洞复现相关推荐
- [系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御
摘要:详细讲解MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程 本文分享自华为云社区<Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度防御>,作者 ...
- FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
#FastJson1.2.24反序列化导致任意命令执行漏洞(CVE-2017-18349)# 一.漏洞简介 Pippo是一款基于Java的Web框架.FastjsonEngine是其中的一个JSON处 ...
- CVE-2022-21907 Microsoft Windows HTTP 协议栈远程代码执行漏洞复现
目录 0x01 声明: 0x02 简介: 0x03 漏洞概述: 0x04 影响版本: 0x05 环境搭建: 下载: 开启IIS: 0x06 漏洞复现: 利用POC: 0x07 流量分析: 客户端: 0 ...
- 福昕阅读器曝多个安全漏洞 可导致远程任意代码执行
来自全球领先的网络解决方案提供商思科的Talos团队在上周四公布了存在于福昕PDF阅读器(Foxit PDF Reader)中的五个安全漏洞,其中有四个漏洞的CVSS 3.0得分都为8.8 ,这意味着 ...
- fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
前言 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象. fastjson在解析js ...
- 通达OA文件上传+文件包含导致远程代码执行漏洞复现
漏洞说明 通达OA是一套办公系统.近日通达OA官方在其官方论坛披露了近期一起通达OA用户服务器遭受勒索病毒攻击事件并发布了多个版本的漏洞补丁.漏洞类型为任意文件上传,受影响的版本存在文件包含漏洞. 未 ...
- CVE-2020-16838 Windows tcp/ip 远程代码执行漏洞复现
漏洞环境 攻击机:windows 10 (python版本:3.7 ,安装了scapy依赖) 受害机环境:windows10 1909 受害机网络开启ipv6支持 打开cmd输入ipconfig查看受 ...
- [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)及防御详解
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
最新文章
- 图像处理工具包ImagXpress的多页TIFF编辑API的使用(1)
- 谷歌推出TFQ,一个可训练量子模型的机器学习框架
- C++开源库,欢迎补充。
- linux 源码安装 yum rpm区别
- 移动端安全测试主要涉及_Android APP安全测试基础
- mysql-proxy数据库中间件架构
- php 404重定向,如何使用PHP实现在WordPress中将404错误页面重定向到主页
- springcloud之ribbon负载均衡
- 基于蚁群算法的二维路径规划算法
- 关于路由表,ARP表,MAC表的一些理解
- OpenCv——OpenCv2 Mat创建、复制、释放
- 方框加对勾怎么输入_如何打出带方框的对号
- 创业失败的工程师内心依旧有代码
- 《失业七个月,面试六十家公司》的深圳体验
- 数据库设计——将用户名和密码与用户其他信息分成两张表
- 剑指 Offer 19. 正则表达式匹配 regex_match() regex()
- 密码锁屏保护隐私更安全,这款口碑好的手机浏览器值得拥有
- 计算机系统结构相关的论文,计算机系统结构毕业论文题目.doc
- 高等数学——导数的定义和常见导数
- python第七关_Python 基础(七)