根据网络安全公司CyberArk近期发布的安全通告，在服务信息块(SMB)协议共享中Windows Defender的文件扫描进程中发现漏洞，允许攻击者利用受控的恶意SMB服务来引导用户执行文件，目前该漏洞并命名为“Illusion Gap”。

Windows系统通常会发出两个可执行拷贝的请求，其中一个触发程序并为此创建进程；第二则是用于Windows Defender，用于扫描恶意内容。

而这就是问题所在。SMB服务器能够区分两种请求，而通过受控的SMB服务器，攻击者能够通过配置发送两个完全不同的文件。这就意味着Windows PE Loader能够接受恶意文件，而发送给Windows Defender是干净的。很显然，这种绕过漏洞在未来可能会衍生出更大的危害。