首页 > 安全钻研 > 安全传递 > 安全公告

PowerShell Core的WDAC绕过缝隙安全公告

颁布功夫 2019-07-18

缝隙编号和级别

CVE编号：CVE-2019-1167，危险级别：高危，CVSS分值：官方未评定

影响版本

受影响的版本

PowerShell Core 6.0
PowerShell Core 6.1

PowerShell Core 6.2

缝隙概述

PowerShell Core是一套为异类环境和混合云构建的跨平台号令行剧本执行环境。

Microsoft披露了一个Windows Defender利用法式节造（WDAC）安全职能绕过缝隙，WDAC是Microsoft提供的一种安全产品，只允许在Windows中运行受信赖的利用法式和驱动法式。这种白名单方面法提供了显著的安全性改进，由于只有受信赖的利用法式能力运行，而恶意软件等未知利用法式始终不会被允许。

此缝隙可能允许攻击者绕过WDAC强造执行。成功利用此缝隙的攻击者能够绕过推算机上的PowerShell主题约束说话模式。

要利用此缝隙，攻击者首吓爪拥有对PowerShell在约束说话模式下运行的本地推算机的治理员接见权限。这样攻击者能够以非预期的方式接见资源。

此更新通过更正PowerShell在约束说话模式下的运行方式来解决缝隙。

要查抄在运行的PowerShell版本并确定您是否容易受到攻击，能够从号令提醒符执行pwsh -v号令。

GA黄金甲·(中国区)官方网站

若是您知路装置了PowerShell Core，但pwsh.exe号令不起作用，那么您使用的是PowerShell Core 6.0，并且必要更新到更新的版本。

缝隙验证

暂无POC/EXP。

建复建议

Microsoft建补了缝隙，请更新到最新版本。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1167

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

PowerShell Core的WDAC绕过缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线