腾讯安全团队发现多个使用了 Windows Defeder RCE漏洞（CVE-2021-1647）的攻击样本在野外出现，样本实现了完整的利用过程，无需用户点击就能完成任意代码执行，同时该样本非常容易修改其Shellcode使其他攻击者进行二次利用，腾讯安全团队已验证在野exp样本的有效性:

漏洞分析：

我们发现该exp使用了Defender核心模块mpengine.dll中的一处堆溢出漏洞，如下图，malloc_base处申请的内存过小，导致下面的循环处理时发生了越界写的问题：

申请的缓冲区大小：

后续使用时发生的越界:

补丁分析：

Defender版本更新后改动较大，在漏洞上下文中我们发现新增的一处对malloc_base参数的检测可以缓解此漏洞，补丁前后如图：

安全解决方案：

腾讯安全专家建议Windows Defender的用户及时升级修补漏洞，避免点击来历不明的邮件中附带的可疑链接和可疑文档。推荐企业用户使用腾讯T-Sec零信任无边界访问控制系统（iOA）修复漏洞，个人用户可使用腾讯电脑管家的漏洞修复功能或Windows安全更新修复漏洞。