微软发布了一个与大多数Windows安全产品捆绑的恶意软件扫描引擎的更新,以修复一个可能让攻击者入侵计算机的高度关键的漏洞。
这个漏洞是由谷歌零项目的研究人员Tavis Ormandy和Natalie Silvanovich在周六发现的,这足以让微软在周一之前创建并发布一个补丁。对于该公司来说,这是一个异乎寻常的快速反应。该公司通常在每个月的第二个周二发布安全更新,很少打破这个周期。
听完周六在推特上宣布他和他的同事在Windows上发现了一个“非常糟糕”的漏洞,并将其描述为“最近记忆中最糟糕的Windows远程代码执行”。
当时,这名研究人员并没有透露关于这个漏洞的任何其他细节,但是他说潜在的漏洞会影响Windows在默认配置下的安装,并且可能会自我传播。
根据微软安全顾问该漏洞于周一公布,当微软恶意软件保护引擎扫描一个特别制作的文件时,就会触发该漏洞。引擎使用Windows防火墙,恶意软件扫描预装Windows 7和之后,微软以及其他消费者和企业安全产品:微软安全要点,微软前沿端点保护2010年,微软端点保护,微软SharePoint的前沿安全服务包3,微软系统中心端点保护和Windows Intune端点保护。
桌面和服务器Windows部署可能面临风险,特别是在受影响的安全产品中启用实时保护时。当启动实时保护时,恶意软件保护引擎会在文件系统中出现时自动检查文件,而不是在计划或手动触发的扫描操作中处理它们。
根据谷歌项目此漏洞的描述,只要计算机上出现任何形式和任何扩展名的特别制作的文件,就可能引发利用。这包括未打开的电子邮件附件,未完成的下载,浏览器缓存的临时互联网文件,甚至是用户提交到网站上的内容,该网站托管在运行互联网信息服务(IIS)的基于windows的web服务器上。
因为微软恶意软件保护引擎使用LocalSystem特权运行,成功地利用这个漏洞可以让黑客完全控制底层的操作系统。根据微软的说法,攻击者可以“安装程序;查看、更改或删除数据;或者创建具有完全用户权限的新帐户。”
用户应检查其产品中使用的微软恶意软件保护引擎版本是否为1.1.10701.0或更高版本。将修复程序传播到配置为自动更新的产品可能需要最多48小时,但用户也可以触发手动更新。
“企业反软件部署的管理员应该确保他们的更新管理软件被配置为自动批准和分发引擎更新和新的恶意软件定义,”微软在其咨询中说。“企业管理员还应该验证微软恶意软件保护引擎和定义更新的最新版本正在积极下载、批准和部署在他们的环境中。”