首頁 > 安全研究 > 安全通報 > 安全通告

PowerShell Core的WDAC繞過漏洞安全通告

發布時間 2019-07-18

漏洞編號和級別


CVE編號:CVE-2019-1167,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


PowerShell Core 6.0
PowerShell Core 6.1

PowerShell Core 6.2


漏洞概述


PowerShell Core是一套為異類環境和混合云構建的跨平臺命令行腳本執行環境。


Microsoft披露了一個Windows Defender應用程序控制(WDAC)安全功能繞過漏洞,WDAC是Microsoft提供的一種安全產品,只允許在Windows中運行受信任的應用程序和驅動程序。這種白名單方法提供了顯著的安全性改進,因為只有受信任的應用程序才能運行,而惡意軟件等未知應用程序永遠不會被允許。


此漏洞可能允許攻擊者繞過WDAC強制執行。成功利用此漏洞的攻擊者可以繞過計算機上的PowerShell核心約束語言模式。


要利用此漏洞,攻擊者首先應具有對PowerShell在約束語言模式下運行的本地計算機的管理員訪問權限。這樣攻擊者可以以非預期的方式訪問資源。


此更新通過更正PowerShell在約束語言模式下的運行方式來解決漏洞。


要檢查正在運行的PowerShell版本并確定您是否容易受到攻擊,可以從命令提示符執行pwsh -v命令。


 
如果您知道安裝了PowerShell Core,但pwsh.exe命令不起作用,那么您使用的是PowerShell Core 6.0,并且需要更新到更新的版本。


漏洞驗證


暫無POC/EXP。 


修復建議


Microsoft修補了漏洞,請更新到最新版本。


參考鏈接


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1167 


上一篇 下一篇