Share This
Связаться со мной
Крути в низ
Categories
//Обнаружена 0day уязвимость повышения привилегий в Windows 7-10

Обнаружена 0day уязвимость повышения привилегий в Windows 7-10

31.01.2021Category : My Habr

Уязвимость в Windows Installer присутствует во всех актуальных системах, начиная с Windows 7, и не была исправлена последними январскими обновлениями.

По информации 0patch проблема первоначально обнаружена SandboxEscaper и заключается в том, что злоумышленник использует собственный сценарий отката (файл *.rbs) вместо сценария, созданного msiexec.exe, для модификации реестра и системных файлов, что в свою очередь приводит к локальному повышению привилегий ограниченного пользователя до уровня системы.

Эту уязвимость уже пытались исправить 4 раза (CVE-2020-16902, CVE-2020-0814, CVE-2020-1302, CVE-2019-1415), но так полностью и не исправили – в проверке использования папки C:Config.Msi для хранения файла отката была обнаружена ошибка, из-за которой CVE-2020-16902 продолжает работать. На текущий вариант ещё нет CVE и официального исправления, однако можно принять меры самостоятельно.

Хорошая новость в том, что в серверных системах по умолчанию установка msi-пакетов разрешена только администраторам, однако этот параметр можно переопределить групповой политикой или твиком реестра (кто так сделал также уязвим). Клиентские системы же уязвимы по умолчанию, так как в них msi-пакеты разрешено устанавливать всем пользователям, в том числе с ограниченными правами.

Команда 0patch предлагает для исправления собственный микропатч, для использования которого необходимо использовать их утилиту. Плюс – изменения делаются в памяти и их можно применять без перезагрузки, минус – нужно регистрироваться и держать 0patch активным.

Мой анализ ситуации показал, что для устранения уязвимости достаточно запретить пользователям с ограниченными правами установку msi-пакетов. Через групповую политику это делается так:

Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Установщик Windows -> Запретить установщик Windows -> Включить (Только для необслуживаемых программ).

Равноценный твик реестра:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller] “DisableMSI”=dword:00000001

  • 2 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

© Speccy 2020 / All rights reserved

Связаться со мной
Close