引言

今天，微软发布了更新MS15-085，以解决CVE-2015-1769，这是一个Mount Manager中的重要严重性安全漏洞。该漏洞影响从Windows Vista到Windows 10的客户端和服务器版本。本文旨在提供检测指导，帮助防御者检测利用此漏洞的尝试。

检测指导

作为更新的一部分，我们还提供了一个事件日志，以帮助防御者检测在其系统上利用此漏洞的尝试。每次依赖于该漏洞的恶意USB设备挂载到系统时，都会触发事件日志。如果记录了这样的事件，则意味着利用漏洞的尝试被阻止。因此，一旦安装了更新，审核事件日志的公司将能够将其用作检测机制。

这些事件记录在“系统”通道下，并报告为错误。

注意：单个利用尝试可能会引发多个事件。

安装更新后，利用尝试将导致生成事件（ID：100），其来源为MountMgr或Microsoft-Windows-MountMgr。与此漏洞相关的CVE也将被记录以供进一步参考。请注意，此错误代码也可能在其他极其罕见的情况下被记录。因此，虽然存在非常小的可能性在非恶意场景中生成此事件日志，但高概率是事件由利用尝试引起。

• Axel Souchet, Vishal Chauhan from MSRC Vulnerabilities and Mitigations Team