12 月 12 日消息，SafeBreach 安全研究員 Yair 最近發(fā)布了一個概念驗證程序 (POC)，展示了如何誘使安全防護軟件擦除或永久刪除您 PC 上的無害文件。

據(jù)介紹，POC 被稱為“合氣道”，也就是同名武術(shù)中的精要所在 ——“以柔克剛”“借勁使力”，用對手的攻擊手段擊敗對手。

目前微軟已經(jīng)承認(rèn) Defender 中存在漏洞并且宣布已修補。

不過其他幾大殺軟，如 Avast、AVG 和 TrendMicro 等也被證實會受到此漏洞的影響，而 McAfee 和 BitDefender 等產(chǎn)品則不受影響。

Yair 解釋稱，POC 基于一種的檢查時間到使用時間 (TOCTOU) 的漏洞。

當(dāng)殺軟檢測到這種文件時會將其確定為惡意文件，然后將其刪除。使用 TOCTOU 的 POC 可以在殺軟檢測到惡意軟件后導(dǎo)入備用路徑，然后致使電腦刪除你的合法文件而不僅是惡意文件，甚至 Windows 系統(tǒng)文件。

下面簡要描述了這些步驟：

在 C:\temp\Windows\System32\drivers\ndis.sys 中創(chuàng)建帶有惡意文件的特殊路徑

按住它的手柄并強制 EDR 或 AV 將刪除操作推遲到下一次重啟之后

刪除 C:\temp 目錄

創(chuàng)建連接 C:\temp → C:\

重啟

有趣的是，對于 Defender 和 Defender for Endpoint，Yair 注意到 Defender 沒有刪除文件而是直接刪除了文件夾。IT之家了解到，微軟已為此漏洞分配了 ID“ CVE-2022-37971 ”的編號，并已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修復(fù)。

同時，TrendMicro、Avast 和 AVG 也發(fā)布了各自產(chǎn)品的補?。?/p>

TrendMicro Apex One：修補程序 23573 和 Patch_b11136

Avast 和 AVG 殺毒軟件：22.10