MicrosoftDefender、Avast和AVG中的漏洞已被曝光,导致Windows永久删除用户文件或从您的PC中永久删除无害文件。据介绍,POC全称为“合气道”,是同名武术的精髓——“以柔克刚”、“以刚发力”,以对方的攻击手段打败对手。目前,微软已经承认了Defender中的漏洞,并宣布已经修复。不过,Avast、AVG、TrendMicro等几款主流杀毒软件也已确认受此漏洞影响,而McAfee、BitDefender等产品不受影响。Yair解释说,概念验证是基于检查时间到使用时间(TOCTOU)漏洞。当杀毒软件检测到此类文件时,会将其判定为恶意文件并删除。使用TOCTOU的POC可以在杀毒软件检测到恶意软件后导入备用路径,然后导致计算机删除您的合法文件,而不仅仅是恶意文件,甚至是Windows系统文件。步骤简述如下:在C:\temp\Windows\System32\drivers\ndis.sys中创建一个带有恶意文件的特殊路径按住其句柄并强制EDR或AV延迟删除,直到下次重新启动后删除C:\temp目录创建连接C:\temp→C:\Restart有趣的是,对于Defender和DefenderforEndpoint,Yair注意到Defender并没有删除文件而是直接删除了文件夹。IT之家获悉,微软已将此漏洞编号为“CVE-2022-37971”,并已在最新的微软恶意软件防护引擎1.1.19700.2版本中得到修复。同时,TrendMicro、Avast和AVG发布了各自产品的补丁:TrendMicroApexOne:Patch23573和Patch_b11136Avast和AVGAntivirus:22.10
