Windows惨遭“隔山打牛” 微软紧急修复最可怕漏洞

作为Windows系统的一道安全防线，微软反病毒引擎却被谷歌研究人员曝出存在“最可怕的远程漏洞”，可以引发蠕虫级攻击，影响Windows Defender、MSE、Forefront等微软全线安全产品。目前，微软官方已紧急修复此漏洞（编号：CVE-2017-0290），提示用户进行安全更新。

该漏洞由全球著名“黑客天团”Google Project Zero发现并报告给微软。在2016年的PoC国际安全会议上，Pwn2Own世界黑客大赛冠军360Vulcan团队在介绍攻破所有浏览器沙盒的“隔山打牛”攻击技术时，也披露过相关攻击面并演示了一个类似的漏洞。

微软反病毒引擎全称为Microsoft Malware Protection Engine，它被默认安装在Windows 8及以上版本的系统中，Win7等老版本也可能随着系统更新而被安装。由于该引擎在实现机制上存在严重漏洞，攻击者只要发送一个文件触发微软反病毒引擎的检测，就能以最高权限执行任意命令，完全控制系统。这意味着Windows设置的“安检”措施，反而为黑客攻击敞开大门。

由于微软反病毒引擎以系统权限运行在Windows内核中，只要有文件在系统“落地”就会触发该引擎检测，包括网页下载或缓存的文件、邮件附件、聊天传输文件、压缩包解压，甚至PE资源等各种渠道，都能够利用微软反病毒引擎的漏洞控制系统，人们日常上网的所有应用几乎都会暴露在攻击者的火力下，堪称攻击面最大的高危漏洞。

图：微软全线安全产品均受漏洞影响

目前，微软正在通过病毒库更新的方式修复漏洞。鉴于此漏洞的技术细节已经公开，网络管理员和Windows用户应采取应对措施：个人用户可通过软件界面查看Windows Defender和MSE的引擎版本，如果版本号低于1.1.13701.0，应立即手动更新。如短期内无法更新，可以在系统的服务管理器中关闭相关服务；企业网络管理员如果配置了自动更新和部署，该更新会在48小时内生效，否则应手动更新微软反病毒引擎。

图：Windows Defender软件界面查看引擎版本