前沿拓展：

作為Windows系統(tǒng)的一道安全防線，微軟反**引擎卻被谷歌研究人員曝出存在“最可怕的遠程漏洞”，可以引發(fā)蠕蟲級攻擊，影響Windows Defender、MSE、Forefront等微軟全線安全產(chǎn)品。目前，微軟官方已緊急修復此漏洞（編號：CVE-2017-0290），提示用戶進行安全更新。

該漏洞由全球著名“黑客天團”Google Project Zero發(fā)現(xiàn)并報告給微軟。在2016年的PoC國際安全會議上，Pwn2Own世界黑客大賽冠軍360Vulcan團隊在介紹攻破所有瀏覽器沙盒的“隔山打?！惫艏夹g(shù)時，也披露過相關(guān)攻擊面并演示了一個類似的漏洞。

微軟反**引擎全稱為Microsoft Malware Protection Engine，它被默認安裝在Windows 8及以上版本的系統(tǒng)中，Win7等老版本也可能隨著系統(tǒng)更新而被安裝。由于該引擎在實現(xiàn)機制上存在嚴重漏洞，攻擊者只要發(fā)送一個文件觸發(fā)微軟反**引擎的檢測，就能以最高權(quán)限執(zhí)行任意命令，完全控制系統(tǒng)。這意味著Windows設置的“安檢”措施，反而為黑客攻擊敞開大門。

由于微軟反**引擎以系統(tǒng)權(quán)限運行在Windows內(nèi)核中，只要有文件在系統(tǒng)“落地”就會觸發(fā)該引擎檢測，包括網(wǎng)頁下載或緩存的文件、郵件附件、聊天傳輸文件、壓縮包解壓，甚至PE資源等各種渠道，都能夠利用微軟反**引擎的漏洞控制系統(tǒng)，人們?nèi)粘Ｉ暇W(wǎng)的所有應用幾乎都會暴露在攻擊者的火力下，堪稱攻擊面最大的高危漏洞。

圖：微軟全線安全產(chǎn)品均受漏洞影響

目前，微軟正在通過**庫更新的方式修復漏洞。鑒于此漏洞的技術(shù)細節(jié)已經(jīng)公開，網(wǎng)絡管理員和Windows用戶應采取應對措施：個人用戶可通過軟件界面查看Windows Defender和MSE的引擎版本，如果版本號低于1.1.13701.0，應立即手動更新。如短期內(nèi)無法更新，可以在系統(tǒng)的**器中關(guān)閉相關(guān)服務；企業(yè)網(wǎng)絡管理員如果配置了自動更新和部署，該更新會在48小時內(nèi)生效，否則應手動更新微軟反**引擎。

圖：Windows Defender軟件界面查看引擎版本

拓展知識：

前沿拓展：

作為Windows系統(tǒng)的一道安全防線，微軟反**引擎卻被谷歌研究人員曝出存在“最可怕的遠程漏洞”，可以引發(fā)蠕蟲級攻擊，影響Windows Defender、MSE、Forefront等微軟全線安全產(chǎn)品。目前，微軟官方已緊急修復此漏洞（編號：CVE-2017-0290），提示用戶進行安全更新。

該漏洞由全球著名“黑客天團”Google Project Zero發(fā)現(xiàn)并報告給微軟。在2016年的PoC國際安全會議上，Pwn2Own世界黑客大賽冠軍360Vulcan團隊在介紹攻破所有瀏覽器沙盒的“隔山打?！惫艏夹g(shù)時，也披露過相關(guān)攻擊面并演示了一個類似的漏洞。

微軟反**引擎全稱為Microsoft Malware Protection Engine，它被默認安裝在Windows 8及以上版本的系統(tǒng)中，Win7等老版本也可能隨著系統(tǒng)更新而被安裝。由于該引擎在實現(xiàn)機制上存在嚴重漏洞，攻擊者只要發(fā)送一個文件觸發(fā)微軟反**引擎的檢測，就能以最高權(quán)限執(zhí)行任意命令，完全控制系統(tǒng)。這意味著Windows設置的“安檢”措施，反而為黑客攻擊敞開大門。

由于微軟反**引擎以系統(tǒng)權(quán)限運行在Windows內(nèi)核中，只要有文件在系統(tǒng)“落地”就會觸發(fā)該引擎檢測，包括網(wǎng)頁下載或緩存的文件、郵件附件、聊天傳輸文件、壓縮包解壓，甚至PE資源等各種渠道，都能夠利用微軟反**引擎的漏洞控制系統(tǒng)，人們?nèi)粘Ｉ暇W(wǎng)的所有應用幾乎都會暴露在攻擊者的火力下，堪稱攻擊面最大的高危漏洞。

圖：微軟全線安全產(chǎn)品均受漏洞影響

目前，微軟正在通過**庫更新的方式修復漏洞。鑒于此漏洞的技術(shù)細節(jié)已經(jīng)公開，網(wǎng)絡管理員和Windows用戶應采取應對措施：個人用戶可通過軟件界面查看Windows Defender和MSE的引擎版本，如果版本號低于1.1.13701.0，應立即手動更新。如短期內(nèi)無法更新，可以在系統(tǒng)的**器中關(guān)閉相關(guān)服務；企業(yè)網(wǎng)絡管理員如果配置了自動更新和部署，該更新會在48小時內(nèi)生效，否則應手動更新微軟反**引擎。

圖：Windows Defender軟件界面查看引擎版本

拓展知識：

前沿拓展：

作為Windows系統(tǒng)的一道安全防線，微軟反**引擎卻被谷歌研究人員曝出存在“最可怕的遠程漏洞”，可以引發(fā)蠕蟲級攻擊，影響Windows Defender、MSE、Forefront等微軟全線安全產(chǎn)品。目前，微軟官方已緊急修復此漏洞（編號：CVE-2017-0290），提示用戶進行安全更新。

該漏洞由全球著名“黑客天團”Google Project Zero發(fā)現(xiàn)并報告給微軟。在2016年的PoC國際安全會議上，Pwn2Own世界黑客大賽冠軍360Vulcan團隊在介紹攻破所有瀏覽器沙盒的“隔山打?！惫艏夹g(shù)時，也披露過相關(guān)攻擊面并演示了一個類似的漏洞。

微軟反**引擎全稱為Microsoft Malware Protection Engine，它被默認安裝在Windows 8及以上版本的系統(tǒng)中，Win7等老版本也可能隨著系統(tǒng)更新而被安裝。由于該引擎在實現(xiàn)機制上存在嚴重漏洞，攻擊者只要發(fā)送一個文件觸發(fā)微軟反**引擎的檢測，就能以最高權(quán)限執(zhí)行任意命令，完全控制系統(tǒng)。這意味著Windows設置的“安檢”措施，反而為黑客攻擊敞開大門。

由于微軟反**引擎以系統(tǒng)權(quán)限運行在Windows內(nèi)核中，只要有文件在系統(tǒng)“落地”就會觸發(fā)該引擎檢測，包括網(wǎng)頁下載或緩存的文件、郵件附件、聊天傳輸文件、壓縮包解壓，甚至PE資源等各種渠道，都能夠利用微軟反**引擎的漏洞控制系統(tǒng)，人們?nèi)粘Ｉ暇W(wǎng)的所有應用幾乎都會暴露在攻擊者的火力下，堪稱攻擊面最大的高危漏洞。

圖：微軟全線安全產(chǎn)品均受漏洞影響

目前，微軟正在通過**庫更新的方式修復漏洞。鑒于此漏洞的技術(shù)細節(jié)已經(jīng)公開，網(wǎng)絡管理員和Windows用戶應采取應對措施：個人用戶可通過軟件界面查看Windows Defender和MSE的引擎版本，如果版本號低于1.1.13701.0，應立即手動更新。如短期內(nèi)無法更新，可以在系統(tǒng)的**器中關(guān)閉相關(guān)服務；企業(yè)網(wǎng)絡管理員如果配置了自動更新和部署，該更新會在48小時內(nèi)生效，否則應手動更新微軟反**引擎。

圖：Windows Defender軟件界面查看引擎版本

拓展知識：

前沿拓展：

作為Windows系統(tǒng)的一道安全防線，微軟反**引擎卻被谷歌研究人員曝出存在“最可怕的遠程漏洞”，可以引發(fā)蠕蟲級攻擊，影響Windows Defender、MSE、Forefront等微軟全線安全產(chǎn)品。目前，微軟官方已緊急修復此漏洞（編號：CVE-2017-0290），提示用戶進行安全更新。

該漏洞由全球著名“黑客天團”Google Project Zero發(fā)現(xiàn)并報告給微軟。在2016年的PoC國際安全會議上，Pwn2Own世界黑客大賽冠軍360Vulcan團隊在介紹攻破所有瀏覽器沙盒的“隔山打牛”攻擊技術(shù)時，也披露過相關(guān)攻擊面并演示了一個類似的漏洞。

微軟反**引擎全稱為Microsoft Malware Protection Engine，它被默認安裝在Windows 8及以上版本的系統(tǒng)中，Win7等老版本也可能隨著系統(tǒng)更新而被安裝。由于該引擎在實現(xiàn)機制上存在嚴重漏洞，攻擊者只要發(fā)送一個文件觸發(fā)微軟反**引擎的檢測，就能以最高權(quán)限執(zhí)行任意命令，完全控制系統(tǒng)。這意味著Windows設置的“安檢”措施，反而為黑客攻擊敞開大門。

由于微軟反**引擎以系統(tǒng)權(quán)限運行在Windows內(nèi)核中，只要有文件在系統(tǒng)“落地”就會觸發(fā)該引擎檢測，包括網(wǎng)頁下載或緩存的文件、郵件附件、聊天傳輸文件、壓縮包解壓，甚至PE資源等各種渠道，都能夠利用微軟反**引擎的漏洞控制系統(tǒng)，人們?nèi)粘Ｉ暇W(wǎng)的所有應用幾乎都會暴露在攻擊者的火力下，堪稱攻擊面最大的高危漏洞。

圖：微軟全線安全產(chǎn)品均受漏洞影響

目前，微軟正在通過**庫更新的方式修復漏洞。鑒于此漏洞的技術(shù)細節(jié)已經(jīng)公開，網(wǎng)絡管理員和Windows用戶應采取應對措施：個人用戶可通過軟件界面查看Windows Defender和MSE的引擎版本，如果版本號低于1.1.13701.0，應立即手動更新。如短期內(nèi)無法更新，可以在系統(tǒng)的**器中關(guān)閉相關(guān)服務；企業(yè)網(wǎng)絡管理員如果配置了自動更新和部署，該更新會在48小時內(nèi)生效，否則應手動更新微軟反**引擎。

圖：Windows Defender軟件界面查看引擎版本

拓展知識：