Windows Defender 的修复过程存在一个漏洞,允许任意写入受保护的系统位置。这并非检测失败;恶意内容已被识别,但清理过程本身成为了利用的载体。该缺陷发生在以高权限运行的可信修复路径中。核心问题在于权限绑定于进程而非操作,致使攻击者可控的输入能够决定写入目标。这是一种“混淆副手”场景,即特权服务 Defender 执行了由外部输入引导的操作。修复例程未将其写入目标与其预期用途进行验证,将其操作视为 inherently 安全。文章强调,任何拥有 elevated 特权、接受攻击者可控输入以执行特权操作的组件均面临此类风险。该漏洞并非反恶意软件特有,也可能影响其他服务。因此,修复路径必须在进程身份之外强制执行目标策略。最终,缺乏对特权操作的独立授权,使得防御者沦为可被利用的原语。
dev.to
RedSun turned Defender into a write primitive
RSS Hunter
2026-05-06
Create attached notes ...