freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Windows Installer 0-day漏洞获得免费微补丁
2021-02-01 17:15:21

Windows Installer组件中存在一个安全漏洞,Microsoft曾多次试图修复该漏洞,但都无济于事。近日,该漏洞获得了一个微补丁,可阻止攻击者在所入侵的系统上获得最高权限。

该漏洞影响Windows 7至Windows 10。Microsoft最近一次努力解决该漏洞(CVE-2020-16902)是在去年10月份。2020年12月底,互联网上出现了该漏洞的PoC代码。

在安装MSI包的过程中,Windows Installer通过msiexec.exe创建一个回滚脚本,以便在过程中出错时,恢复任何更改。

如果攻击者获取了本地权限,且能够替换回滚脚本,修改注册表值以指向其payload,则可以系统权限运行可执行文件。

该漏洞(CVE-2019-0841)突然出现,并于2019年4月得到修复。漏洞研究人员Sandbox Escaper在同年5月底发现了一个绕过方法,并公布了一些技术细节。

随后,Microsoft多次尝试修改该漏洞(CVE-2019-1415、CVE-2020-1302、CVE-2020-0814、CVE-2020-16902),但该Windows Installer漏洞仍然可以被利用,将在受损计算机上的权限提升至最高权限。

安全研究人员Abdelhamid Naceri在其博客上披露了绕过该漏洞的最新方法。

ACROS Security公司的CEO兼0patch微补丁服务的联合创始人Mitja Kolsek,解释了Naceri针对该漏洞的PoC的运行方式。“该PoC使用一个回滚脚本,将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath的值更改为c:\Windows\temp\asmae.exe,造成Fax Service被启动时使用攻击者的asmae.exe。之所以使用该服务,是因为任何用户都被允许启动它,并且它以本地系统权限运行。”

在Microsoft推出永久补丁之前,用户可以通过0Patch平台获得临时补丁。该补丁是一个单指令修复程序,不需要重新启动系统。

0Patch的临时免费补丁适用于以下系统:

  • Windows 10 v20H2,32/64位,2021年1月更新
  • Windows 10 v2004,32/64位,2021年1月更新
  • Windows 10 v1909,32/64位,2021年1月更新
  • Windows 7,32/64位,ESU,2021年1月更新
  • Windows 7,32/64位,无ESU,2020年1月更新

作者:Ionut Ilascu
来源:Bleeping Computer

本文作者:, 转载请注明来自FreeBuf.COM

# 资讯
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑