12 月 12 日消息，SafeBreach 安全研究員 Yair 最近發(fā)布了一個(gè)概念驗(yàn)證程序 (POC)，展示了如何誘使安全防護(hù)軟件擦除或永久刪除您 PC 上的無(wú)害文件。

據(jù)介紹，POC 被稱為“合氣道”，也就是同名武術(shù)中的精要所在 ——“以柔克剛”“借勁使力”，用對(duì)手的攻擊手段擊敗對(duì)手。

目前微軟已經(jīng)承認(rèn) Defender 中存在漏洞并且宣布已修補(bǔ)。

不過(guò)其他幾大殺軟，如 Avast、AVG 和 TrendMicro 等也被證實(shí)會(huì)受到此漏洞的影響，而 McAfee 和 BitDefender 等產(chǎn)品則不受影響。

Yair 解釋稱，POC 基于一種的檢查時(shí)間到使用時(shí)間 (TOCTOU) 的漏洞。

當(dāng)殺軟檢測(cè)到這種文件時(shí)會(huì)將其確定為惡意文件，然后將其刪除。使用 TOCTOU 的 POC 可以在殺軟檢測(cè)到惡意軟件后導(dǎo)入備用路徑，然后致使電腦刪除你的合法文件而不僅是惡意文件，甚至 Windows 系統(tǒng)文件。

下面簡(jiǎn)要描述了這些步驟：

在 C:\temp\Windows\System32\drivers\ndis.sys 中創(chuàng)建帶有惡意文件的特殊路徑

按住它的手柄并強(qiáng)制 EDR 或 AV 將刪除操作推遲到下一次重啟之后

刪除 C:\temp 目錄

創(chuàng)建連接 C:\temp → C:\

重啟

有趣的是，對(duì)于 Defender 和 Defender for Endpoint，Yair 注意到 Defender 沒(méi)有刪除文件而是直接刪除了文件夾。IT之家了解到，微軟已為此漏洞分配了 ID“ CVE-2022-37971 ”的編號(hào)，并已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修復(fù)。

同時(shí)，TrendMicro、Avast 和 AVG 也發(fā)布了各自產(chǎn)品的補(bǔ)?。?/p>

TrendMicro Apex One：修補(bǔ)程序 23573 和 Patch_b11136

Avast 和 AVG 殺毒軟件：22.10