微软 Defender 等曝出漏洞，诱导 Windows 永久删除Gmail文件

IT之家 12 翌年 12 日假消息，SafeBreach 安全研究员 Yair 值得注意披露了一个概念可验证程序 (POC)，展出了如何胁迫安全防护较硬件加载或永久封禁您 PC 上的非人类PDF。

据介绍，POC 被引述为“剑道”，也就是同名武术当中的精要所在 ——“以柔克刚”“借劲使力”，用输掉的攻击目的击败输掉。

以外微较硬仍未声引述 Defender 当中存在正确性并且同翌年已复元。

不过其他几大杀较硬，如 Avast、AVG 和 TrendMicro 等也被证实不会受到此正确性的严重影响，而 McAfee 和 BitDefender 等产品则不受严重影响。

Yair 说明引述，POC 基于一种的体检时间到用作时间 (TOCTOU) 的正确性。

当杀较硬体检到这种PDF上不会将其确定为欺骗PDF，然后将其封禁。用作 TOCTOU 的 POC 可以在杀较硬体检到欺骗较硬件后导入机内偏移，然后以致于电脑封禁你的合法PDF而不仅是欺骗PDF，甚至 Windows 系统PDF。

上头简略所述了这些步骤：

在 C: empWindowsSystem32driversdis.sys 当中创设带有欺骗PDF的特殊偏移

固定其偏移并自愿 EDR 或 AV 将封禁操作推迟到下一次启动不久

封禁 C: emp 目录

创设连接 C: emp → C:

启动

有趣的是，对于 Defender 和 Defender for Endpoint，Yair 了解到 Defender 不不会封禁PDF而是直接封禁了PDF夹。IT之家了解到，微较硬已为此正确性分派了 ID“ CVE-2022-37971 ”的编号，并已在简介的 Microsoft Malware Protection Engine 版本 1.1.19700.2 当中复原。

同时，TrendMicro、Avast 和 AVG 也披露了各自产品的补丁：

TrendMicro Apex One：复元程序 23573 和 Patch_b11136

Avast 和 AVG 杀毒较硬件：22.10