微软发现华为MateBook自带PCManager程序的提权漏洞

微软监视到指示  DOUBLEPULSAR 后门的异步过程调用，但进一步的调查没有发现恶意程序，而是华为写的驱动。

华为的驱动监视了 PCManager 的一个用户模式服务，如果该服务崩溃或停止运行，驱动将会重启它。为了执行重启，驱动向一个高权 Windows 进程注入代码，然后使用异步过程调用运行代码——这是恶意程序常用的技术。不清楚为什么华为要采用这种方法重启服务，因为 Windows 已经内置了重启崩溃服务的功能。

除此之外，微软研究员还观察到驱动存在其它漏洞。

本文素材来自互联网