PowerShell Core的WDAC绕过误差清静通告

宣布时间 2019-07-18

误差编号和级别


CVE编号:CVE-2019-1167,,,,,,危险级别:高危,,,,,,CVSS分值:官方未评定


影响版本


受影响的版本


PowerShell Core 6.0
PowerShell Core 6.1

PowerShell Core 6.2


误差概述


PowerShell Core是一套为异类情形和混淆云构建的跨平台下令行剧本执行情形。。。。。


Microsoft披露了一个Windows Defender应用程序控制(WDAC)清静功效绕过误差,,,,,,WDAC是Microsoft提供的一种清静产品,,,,,,只允许在Windows中运行受信任的应用程序和驱动程序。。。。。这种白名单要领提供了显著的清静性刷新,,,,,,由于只有受信任的应用程序才华运行,,,,,,而恶意软件等未知应用程序永远不会被允许。。。。。


此误差可能允许攻击者绕过WDAC强制执行。。。。。乐成使用此误差的攻击者可以绕过盘算机上的PowerShell焦点约束语言模式。。。。。


要使用此误差,,,,,,攻击者首先应具有对PowerShell在约束语言模式下运行的外地盘算机的治理员会见权限。。。。。这样攻击者可以以非预期的方法会见资源。。。。。


此更新通过更正PowerShell在约束语言模式下的运行方法来解决误差。。。。。


要检查正在运行的PowerShell版本并确定您是否容易受到攻击,,,,,,可以从下令提醒符执行pwsh -v下令。。。。。


人生就是博-尊龙凯时中国官网

 
若是您知道装置了PowerShell Core,,,,,,但pwsh.exe下令不起作用,,,,,,那么您使用的是PowerShell Core 6.0,,,,,,并且需要更新到更新的版本。。。。。


误差验证


暂无POC/EXP。。。。。 


修复建议


Microsoft修补了误差,,,,,,请更新到最新版本。。。。。


参考链接


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1167