查看原文
其他

三番四次,Installer 0day 终于获得微补丁

IONUT ILASCU 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


Windows Installer 组件中存在一个漏洞,微软多次修复仍未果。目前该漏洞获得微补丁,避免黑客获得受陷系统的最高权限。


该漏洞 (CVE-2020-16902) 影响 Windows 7 至10版本。微软10月份曾再次尝试修复该漏洞。2020年12月,带有 PoC 利用代码的绕过现身。


补丁和绕过的反复


在安装 MSI 包时,Windows Installer 通过 “msiexec.exe” 创建了一个回滚脚本,如过程中发生错误将恢复所做变化。具有本地权限的黑客如能修改注册表值指向其 payload以替换回滚脚本,则可运行可执行文件。

微软发现该漏洞并曾在2019年4月修复该漏洞(CVE-2019-0841),但漏洞研究员 Sandbox Escaper 在5月底找到一个绕过并公开了一些技术细节。这样的节奏重复了四次(CVE-2019-1415、CVE-2020-1302、CVE-2020-0814和CVE-2020-16902),Windows Installer 仍可遭利用,可导致攻击者在受陷机器上提权至最高权限。最新绕过是安全研究员 Abdelhamid Naceri 发现的,他还发现了影响多种其它安全软件解决方案上的漏洞。


临时解决方案


ACROS Security 公司的首席执行官兼0patch 微补丁的联合创始人Mitja Kolsek 解释了 Naceri 的 PoC 如何起作用:“该 PoC 使用回滚脚本,将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath的值更改为 c:\Windows\temp\asmae.exe从而导致该服务启动时,Fax Service 使用攻击者的 asmae.exe。该服务被使用的原因在于任意用户皆可启动该服务,且它以本地系统身份运行。

在微软推出永久补丁前,0Patch 平台发布了一个临时补丁。该补丁是单指令修复方案,无需重启系统。研究员通过视频演示了该微补丁如何阻止本地非管理员用户修改指向 Fax Service 可执行文件的注册表值,导致运行攻击者代码。


该免费的微补丁适用于如下系统:

  • Windows 10 v20H2, 32/64位,更新于2021年1月

  • Windows 10 v2004, 32/64位,更新于2021年1月

  • Windows 10 v1909, 32/64位,更新于2021年1月

  • Windows 7, 32/64位, 具有 ESU, 更新于2021年1月

  • Windows 7, 32/64位, 无ESU, 更新于2021年1月






推荐阅读
谷歌披露利用 Windows 和安卓双平台的高阶攻击活动
坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击



原文链接

https://www.bleepingcomputer.com/news/security/windows-installer-zero-day-vulnerability-gets-free-micropatch/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存