Microsoft发布了新版本的PowerShell Core来修复漏洞，该漏洞允许本地攻击者绕过Windows Defender应用程序控制（WDAC）强制执行。即使启用了WDAC，这也可能允许攻击者执行不受信任的程序。

Windows Defender Application Control是Microsoft提供的一种安全产品，只允许在Windows中运行受信任的应用程序和驱动程序。这种白名单方法提供了显着的安全性改进，因为只有受信任的应用程序才能运行，而恶意软件等未知应用程序永远不会被允许。

在Windows中启用系统范围的应用程序控制解决方案（如Device Guard和WDAC）时，PowerShell将自动进入约束语言模式，这限制了对某些Windows API的访问。

Microsoft今天披露了一个名为“Windows Defender应用程序控制安全功能绕过漏洞”并分配了ID CVE-2019-1167的新漏洞。此漏洞允许本地攻击者绕过PowerShell核心约束语言模式绕过WDAC强制执行。

强烈建议管理员更新到最新版本的PowerShell Core以解决此漏洞。

如何判断您是否受此漏洞影响

此漏洞会影响6.1.5之前的所有PowerShell Core 6.0，PowerShell Core 6.1版本和6.2.2之前的PowerShell Core 6.2版本。

要检查正在运行的PowerShell版本并确定您是否容易受到攻击，可以pwsh -v 从命令提示符执行该命令。

如果您运行的是受影响的版本，则可以转到PowerShell核心版本页面(https://github.com/PowerShell/PowerShell/releases)并下载最新版本（6.2.2或6.1.5）。

如果您知道安装了PowerShell Core，但pwsh.exe命令不起作用，那么您使用的是PowerShell Core 6.0，并且需要更新到更新的版本。