Уязвимость нулевого дня установщика Windows получает бесплатный микропатч

Уязвимость нулевого дня установщика Windows получает бесплатный микропатч

Уязвимость в компоненте установщика Windows, которую Microsoft пыталась исправить несколько раз безрезультатно, сегодня получила микропатч, лишающий хакеров возможности получить наивысшие привилегии на скомпрометированной системе..

Проблема затрагивает Windows 7–10. Последняя попытка Microsoft решить эту проблему (CVE-2020-16902) была предпринята в октябре. Обход в комплекте с кодом эксплойта для проверки концепции (PoC) появился в конце декабря 2020 года..

Патч, обход, повтор

Во время установки пакета MSI установщик Windows создает сценарий отката через «msiexec.exe», чтобы отменить любые изменения, если в процессе что-то пойдет не так..

Хакер с локальными привилегиями мог бы запустить исполняемый файл с разрешениями SYSTEM, если бы он мог заменить сценарий отката тем, который изменяет значение реестра, чтобы указать на их полезную нагрузку..

Уязвимость обнаружилась на радаре Microsoft и была исправлена ​​в апреле 2019 года (CVE-2019-0841). В конце мая исследователь уязвимостей Sandbox Escaper обнаружил обходной путь и опубликовал некоторые технические подробности..

История повторилась еще четыре раза (CVE-2019-1415, CVE-2020-1302, CVE-2020-0814, CVE-2020-16902), и установщик Windows по-прежнему можно использовать для повышения привилегий до самых высоких разрешений на скомпрометированной машине..

READ  Лучшие игры о смешанной реальности для Windows в 2020 году

Последний обход был описан исследователем безопасности Абдельхамидом Насери в своем блоге вместе с другими уязвимостями, затрагивающими несколько программных решений безопасности..

Доступно временное исправление

Митя Колсек, генеральный директор ACROS Security и соучредитель службы микропатчинга 0patch, объясняет, как работает PoC Naceri для устранения уязвимости (без номера отслеживания):

«Доказательство концепции использует сценарий отката, который изменяет значение HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Fax \ ImagePath на c: \ Windows \ temp \ asmae.exe, в результате чего служба факсов использует asmae злоумышленника. exe при запуске службы. Эта служба использовалась, потому что любой пользователь может запустить ее, и она работает как локальная система ». Митя Колсек

Пока Microsoft не выпустит постоянный патч, временный доступен через платформу 0Patch. Это исправление с одной инструкцией, не требующее перезагрузки системы..

На видео ниже показано, что микропатч не позволяет локальному пользователю, не являющемуся администратором, изменить значение реестра, указывающее на исполняемый файл службы факсов, что может привести к запуску кода злоумышленника..

Временное бесплатное исправление от 0Patch работает для следующих систем:

  • Windows 10 v20H2, 32- или 64-разрядная версия, обновленная обновлениями января 2021 г.
  • Windows 10 v2004, 32- или 64-разрядная версия, обновленная обновлениями января 2021 г.
  • Windows 10 v1909, 32- или 64-разрядная версия, обновленная обновлениями от января 2021 г.
  • Windows 7, 32/64-разрядная, с ESU, обновленная с обновлениями января 2021 г.
  • Windows 7, 32- или 64-разрядная версия, без ESU, обновленная с помощью обновлений января 2020 г.
READ  Как Подключить Геймпад К Андроид

Источник