Microsoft發(fā)布了新版本的PowerShell Core來修復(fù)漏洞���,該漏洞允許本地攻擊者繞過Windows Defender應(yīng)用程序控制(WDAC)強制執(zhí)行。即使啟用了WDAC�,這也可能允許攻擊者執(zhí)行不受信任的程序。
Windows Defender Application Control是Microsoft提供的一種安全產(chǎn)品���,只允許在Windows中運行受信任的應(yīng)用程序和驅(qū)動程序���。這種白名單方法提供了顯著的安全性改進,因為只有受信任的應(yīng)用程序才能運行�����,而惡意軟件等未知應(yīng)用程序永遠不會被允許�。
在Windows中啟用系統(tǒng)范圍的應(yīng)用程序控制解決方案(如Device Guard和WDAC)時,PowerShell將自動進入約束語言模式���,這限制了對某些Windows API的訪問���。
Microsoft今天披露了一個名為“Windows Defender應(yīng)用程序控制安全功能繞過漏洞”并分配了ID CVE-2019-1167的新漏洞�。此漏洞允許本地攻擊者繞過PowerShell核心約束語言模式繞過WDAC強制執(zhí)行�����。
“Windows Defender應(yīng)用程序控制(WDAC)中存在一個安全功能繞過漏洞�,可能允許攻擊者繞過WDAC強制執(zhí)行。成功利用此漏洞的攻擊者可以繞過計算機上的PowerShell核心約束語言模式�����。
要利用此漏洞���,攻擊者首先可以訪問PowerShell以約束語言模式運行的本地計算機��。通過這樣做��,攻擊者可以利用腳本調(diào)試以無意的方式濫用已簽名的模塊�。
此更新通過更正PowerShell在約束語言模式下的運行方式來解決漏洞����������!
強烈建議管理員更新到最新版本的PowerShell Core以解決此漏洞。
如何判斷您是否受此漏洞影響
此漏洞會影響6.1.5之前的所有PowerShell Core 6.0�,PowerShell Core 6.1版本和6.2.2之前的PowerShell Core 6.2版本。
要檢查正在運行的PowerShell版本并確定您是否容易受到攻擊����,可以pwsh -v 從命令提示符執(zhí)行該命令�����。
如果您運行的是受影響的版本��,則可以轉(zhuǎn)到PowerShell核心版本頁面(https://github.com/PowerShell/PowerShell/releases)并下載最新版本(6.2.2或6.1.5)���。
如果您知道安裝了PowerShell Core���,但pwsh.exe命令不起作用,那么您使用的是PowerShell Core 6.0�,并且需要更新到更新的版本。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
