场面略微尴尬!微软发布补丁竟然忘记签名于是被Microsoft Defender拦截
前文我们提到微软发布的累积更新导致大量企业级用户蓝屏死机,原因是微软修复打印机漏洞时又带来新的问题。
在REDDIT 论坛上有大量用户抱怨微软发布的补丁质量太差,有用户称微软发布累积更新前可能都没有进行测试。
鉴于此前微软已经将Windows 10整个测试团队全部开掉,用户吐槽微软发累积更新没进行测试估计也不是错的。
说到这又让我们想起最近微软发生的滑稽事情,早些时候微软发布的某个可选更新竟然没有包含微软的数字签名。
不论是可选更新还是安全更新【通常】微软都有严格的管理,即通过多种安全措施确保更新不会在发布后被篡改。
也可以确保攻击者无法通过中间人劫持等方式向用户投毒,对操作系统来说安装具有高权限的软件管控自然严格。
微软采取的措施包括但不限于对补丁进行数字签名以及校验哈希值等,只要其中有一个对不上那系统就不会安装。
有趣的是微软最近发布的健康监测工具 KB4023057 就存在漏签名的情况,正常情况下补丁所有文件都应该签名。
结果微软忘记对该工具的核心DLL文件进行签名 , 因此在系统自动下载安装时直接触发Microsoft Defender拦截。
# 网友提供的拦截事件日志 TimeCreated : 20/02/2021 12:33:05 Message : Process '\Device\HarddiskVolume3\Windows\System32\svchost.exe' (PID 8148) was blocked from loading the non-Microsoft-signed binary '\Windows\SoftwareDistribution\Download\3f48d549148c5aeff17bfbc1db1a1a11\Metadata\Dpx.dll'. Id : 12 (Microsoft Defender code integrity guard block) # 注:这是Microsoft Defender代码完整性检查防护 TimeCreated : 20/02/2021 12:36:29 Message : Product: Microsoft Update Health Tools -- Installation completed successfully. Id : 11707 (MSI Installation Successful) TimeCreated : 20/02/2021 12:36:29 Message : Installation Successful: Windows successfully installed the following update: 2021-01 Update for Windows 10 Version 20H2 for x64-based Systems (KB4023057) Id : 19 (Update Installation Successful)
从某种意义上说可选更新忘记签名比修复程序引发蓝屏死机还严重,因为签名这事儿属于安全工作也是基础工作。
修复程序存在其他问题可以把锅甩到漏洞复杂上,但是核心文件连最基础的数字签名都能忘记这是没办法甩锅的。
从这件事上也可以看出来微软工程师制作补丁时压根没有测试,但凡有一个人安装测试也会发现被自家杀毒拦截。
这个可选补丁忘记签名就直接推送给不少用户,最后还是有用户反馈给微软,微软又撤回并重新签名又重新发布。
值得注意的是这也不是微软首次发生自己发布的东西被自家杀毒拦截,此前 TiWorker.exe 也被微软杀毒拦截过。
TiWorker.exe 也是Windows系统的核心进程之一,主要负责模块安装类的工作,微软这真是狠起来连自己都杀。