Illusion Gap 漏洞曝光：恶意文件可绕过 Windows Defender 扫描

据外媒报道，网络安全公司 CyberArk 近期发布安全通告，宣称在服务信息模块（SMB）协议共享的 Windows Defender 文件扫描进程中发现一处安全漏洞 “ Illusion Gap ”，允许攻击者利用受控的恶意 SMB 服务诱导用户执行文件。

研究人员表示，Windows 系统通常会发出两个可执行拷贝的请求，其中一个触发程序并为此创建进程；第二则是用于 Windows Defender，用于扫描恶意内容。

然而，这就是问题所在。SMB 服务器能够区分两种请求，而通过受控的 SMB 服务器，攻击者能够通过配置发送两个完全不同的文件。这意味着 Windows PE Loader 能够接受恶意文件，而发送给 Windows Defender 是干净的。很显然，这种绕过漏洞在未来可能会衍生出更大的危害。