01月13日，根据微软官方发布的漏洞安全通告显示，修复了Windows Defender远程代码执行漏洞；攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件，从而使Windows Defender在自动扫描恶意文件时触发利用该漏洞，最终控制受害者计算机。

根据微软官方描述，CVE-2021-1647目前仍在传播利用中，在此提醒校园网用户尽快安装补丁阻止漏洞攻击，做好资产自检和预防工作，以免遭受攻击。

一、漏洞情况分析

Microsoft Defender是Windows的一款防病毒软件，具有病毒和威胁防护、账户保护，防火墙与网络保护，应用和浏览器控制等功能。由于Microsoft Defender在扫描文件的过程中存在内存损坏漏洞，攻击者可以通过构造特殊的PE文件，再以邮件、即时聊天工具、恶意下载链接等方式诱导受害者下载，受害者电脑上的Microsoft Defender在自动对该文件进行解析的时候，产生缓冲区溢出，从而造成远程代码执行，最终控制受害者计算机。

二、漏洞影响范围

目前受影响的Windows Defender版本：

Windows 7 SP1；Windows 8.1；Windows RT 8.1

Windows 10；Windows 10 Version 1607, 1803，1809, 1909, 2004，20H2

Windows Server 2008 SP2

Windows Server 2008 R2 SP1

Windows Server 2012, 2012 R2, 2016, 2019

Windows Server version 1909, 2004，20h2

Windows Defender恶意软件保护引擎1.1.17600.5及之前的版本都受到影响

三、解决方案

1.及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

2.当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁（及时更新升级到最新版本）。链接如下：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647

信息化管理处

2021年01月13日