CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告

阅读量122567

发布时间 : 2021-01-13 11:00:21

 

0x01漏洞简述

2021年01月13日,360CERT监测发现Microsoft发布了Microsoft Defender 缓冲区溢出漏洞的风险通告,该漏洞编号为CVE-2021-1647,漏洞等级:高危,漏洞评分:7.8

攻击者通过构造特殊的PE文件,可造成Microsoft Defender 远程代码执行

该漏洞目前有在野利用

对此,360CERT建议广大用户及时将Microsoft Defender升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
360CERT评分 7.8

0x03漏洞详情

CVE-2021-1647: 缓冲区溢出漏洞

攻击者通过构造特殊PE格式的文件,使得Microsoft Defender在对该文件进行解析的时候,产生缓冲区溢出,从而造成远程代码执行。

 

0x04影响版本

Microsoft:Microsoft Defender:Windows 8.1 for 32-bit systems

Microsoft:Microsoft Defender:Windows 7 for x64-based Systems Service Pack 1

Microsoft:Microsoft Defender:Windows 7 for 32-bit Systems Service Pack 1

Microsoft:Microsoft Defender:Windows Server 2016 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2016

Microsoft:Microsoft Defender:Windows 10 Version 1607 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1607 for 32-bit Systems

Microsoft:Microsoft Defender:Windows 10 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 for 32-bit Systems

Microsoft:Microsoft Defender:Windows Server, version 20H2 (Server Core Installation)

Microsoft:Microsoft Defender:Windows 10 Version 20H2 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 20H2 for 32-bit Systems

Microsoft:Microsoft Defender:Windows 10 Version 20H2 for x64-based Systems

Microsoft:Microsoft Defender:Windows Server, version 2004 (Server Core installation)

Microsoft:Microsoft Defender:Windows 10 Version 2004 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 2004 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 2004 for 32-bit Systems

Microsoft:Microsoft Defender:Windows Server, version 1909 (Server Core installation)

Microsoft:Microsoft Defender:Windows 10 Version 1909 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1909 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1909 for 32-bit Systems

Microsoft:Microsoft Defender:Windows Server 2019 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2019

Microsoft:Microsoft Defender:Windows 10 Version 1809 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1809 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1809 for 32-bit Systems

Microsoft:Microsoft Defender:Windows 10 Version 1803 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1803 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1803 for 32-bit Systems

Microsoft:Microsoft System Center 2012 Endpoint Protection

Microsoft:Microsoft Security Essentials

Microsoft:Microsoft System Center 2012 R2 Endpoint Protection

Microsoft:Microsoft System Center Endpoint Protection

Microsoft:Microsoft Defender:Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft:Microsoft Defender:Windows RT 8.1

Microsoft:Microsoft Defender:Windows 8.1 for x64-based systems

Microsoft:Microsoft Defender:Windows Server 2012 R2 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2012 R2

Microsoft:Microsoft Defender:Windows Server 2012 (Server Core installation)

 

0x05修复建议

通用修补建议

360CERT建议通过安装

360安全卫士

进行一键更新。 应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下

-点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。

-点击控制面板页面中的“系统和安全”,进入设置。

-在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

-然后进入设置窗口,展开下拉菜单项,选择其中的 自动安装更新(推荐) 。

临时修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

2021 年 1 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft

 

0x06产品侧解决方案

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x07时间线

2021-01-12 微软发布安全更新

2021-01-13 360CERT发布通告

 

0x08参考链接

1、 Microsoft Defender Remote Code Execution Vulnerability

 

0x09特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

本文由360CERT安全通告原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/228463

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66