Уязвимость обхода функции безопасности в Windows Defender Application Control (WDAC) из-за некорректной верификации PowerShell команд
Описание
Злоумышленник, успешно эксплуатировавший эту уязвимость, способен выполнять PowerShell команды, которые блокируются WDAC.
Условия эксплуатации
Чтобы эксплуатировать уязвимость, злоумышленнику необходим доступ уровня администратора на локальной машине, где работает PowerShell. Злоумышленник затем может подключиться к PowerShell сессии и отправить команды для выполнения произвольного кода.
Решение
Обновление решает проблему уязвимости, исправляя способ верификации PowerShell команд при включенной защите WDAC.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2016 | ||
| Windows 10 Version 1607 for 32-bit Systems | ||
| Windows 10 Version 1607 for x64-based Systems | ||
| Windows Server 2016 (Server Core installation) | ||
| Windows 10 Version 1709 for 32-bit Systems | ||
| Windows 10 Version 1709 for x64-based Systems | ||
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems | ||
| Windows 10 Version 1803 for ARM64-based Systems | ||
| Windows 10 Version 1809 for 32-bit Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
6.7 Medium
CVSS3
Связанные уязвимости
<p>A security feature bypass vulnerability exists in Windows Defender Application Control (WDAC) which could allow an attacker to bypass WDAC enforcement. An attacker who successfully exploited this vulnerability could execute PowerShell commands that would be blocked by WDAC.</p> <p>To exploit the vulnerability, an attacker need administrator access on a local machine where PowerShell is running. The attacker could then connect to a PowerShell session and send commands to execute arbitrary code.</p> <p>The update addresses the vulnerability by correcting how PowerShell commands are validated when WDAC protection is enabled.</p>
A security feature bypass vulnerability exists in Windows Defender Application Control (WDAC) which could allow an attacker to bypass WDAC enforcement, aka 'Windows Defender Application Control Security Feature Bypass Vulnerability'.
Уязвимость средства контроля приложений Управление приложениями в Защитнике Windows (Windows Defender Application Control, WDAC) средства автоматизации PowerShell Core, позволяющая нарушителю выполнить произвольный код
EPSS
6.7 Medium
CVSS3