Windows Defender 更新过程中存在一个严重漏洞，允许具有管理员权限的攻击者禁用安全服务并纵其核心文件。

该技术利用了 Defender 选择其执行文件夹的方式中的缺陷，可以使用 Windows作系统上已有的工具来执行。

Zero Salarium 详细介绍了该漏洞，他探索了攻击者与端点保护系统之间的持续战斗。

虽然红队通常专注于逃避检测，但这种方法可以彻底压制防御软件本身。

利用更新机制

该漏洞的核心在于 WinDefend 服务处理版本更新的方式。Windows Defender 将其可执行文件存储在位于 中的版本号文件夹中。ProgramData\Microsoft\Windows Defender\Platform\

当服务启动或更新时，它会扫描此目录并选择版本号最高的文件夹作为其新的作路径。Platform

虽然 Microsoft 保护这些文件夹不被修改，但研究人员发现具有管理员权限的用户仍然可以在目录中创建新文件夹。Platform

这种疏忽允许攻击者纵更新过程。通过创建版本号高于当前版本号的符号链接 （符号链接） ，攻击者可以将 Defender 服务重定向到完全不同的攻击者控制的文件夹。

攻击分几个步骤进行：

• 首先，攻击者将合法的 Windows Defender 可执行文件复制到新的、不安全的位置（例如 ）。C:\TMP\AV
• 接下来，使用该命令，他们在受保护的文件夹中创建一个符号链接。此符号链接的名称似乎是较新版本的 Defender，并指向第一步中创建的不安全文件夹。mklinkPlatform
• 下次系统重新启动时，WinDefend 服务将符号链接标识为最新版本，并从攻击者控制的目录启动其进程。

建立控制后，攻击者对运行 Defender 的文件具有完全的读/写访问权限。这会导致多种恶意结果。

例如，攻击者可以在文件夹中植入恶意 DLL，以执行 DLL 侧加载攻击，在受信任的 Defender 进程中执行恶意代码。

更简单地说，他们可能会销毁可执行文件，从而阻止服务运行。

在演示中，研究人员表明，通过在劫持后简单地删除符号链接，Defender 服务在下次运行时无法找到其可执行路径。

这有效地停止了服务并禁用了所有实时病毒和威胁防护，使机器容易受到攻击。