Windows 10新BUG:恶意代码通过空字符绕过安全检查

摘要:

Windows 10系统中防恶意程序扫描接口(AMSI)中存在的BUG,如果代码中包含空字符就能够跳过恶意程序的检测。Windows 10系统的AMSI是一种安全设置,扮演着应用程序和防病毒软件的中介作用。它允许程序发送给防病毒软件来检查它们所使用的文件是否安全。

detected.png

AMSI最重要的功能就是在应用启动的时候检测可执行文件,并扫描启动后可能会打开的后续资源文件。攻击者可以使用运行在其他合法软件上的PowerShell脚本程序进行伪装,从而规避传统基于签名防病毒引擎,因此这种攻击方式日益受到黑客的青睐。

研究人员Satoshi Tanda发现,这个BUG会导致AMSI扫描的文件被截断为空字符。这就意味着攻击者可以通过将恶意代码放置在空字符之后来轻松隐藏脚本中的恶意代码。由于AMSI永远不会读取此代码,因此恶意程序在没有警告响起的情况下通过。

该BUG已经在最近的补丁星期二活动中进行修复。

热门评论

>>共有0条评论,显示0
更多评论
created by ceallan