ИБ-специалисты пытаются устранить уязвимость нулевого дня в установщике Windows

Дата: 29.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности
ИБ-специалисты пытаются устранить уязвимость нулевого дня в установщике Windows

Уязвимость в компоненте установщика Windows, которую корпорация Microsoft уже неоднократно пыталась исправить, получила от сервиса 0Patch очередной патч, который лишит киберпреступников возможности получить максимальные привилегии в скомпрометированной системе.

Уязвимость затрагивает Windows 7 и Windows 10. Ошибка имеет идентификатор CVE-2020-16902. Microsoft уже пыталась ранее решить проблему в апреле 2019 и октябре 2020 года, но безуспешно.

В процессе установки пакета MSI установщик Windows создает сценарий отката с использованием msiexec.exe, чтобы отменить любые изменения, если в процессе что-то пойдет не так. Киберпреступник, имеющий локальные привилегии, может запустить исполняемый файл с разрешениями SYSTEM, что позволяет поменять сценарий отката тем, который изменить значение реестра, что указать на полезную нагрузку.

Уязвимость была обнаружена и первоначально исправлена Microsoft еще в апреле 2019 года, но специалисты по информационной безопасности из компании Sandbox Escaper нашли обходной путь в мае 2019 года, опубликовав некоторые технические детали.

История с уязвимостью установщика Windows повторилась четырежды за последние два года – его до сих пор можно использовать для увеличения привилегий до максимально возможных на скомпрометированных устройствах.

Митя Колсек, гендиректор ACROS Security и соучредитель сервиса 0Patch, объяснил, как именно их исправление для установщика Windows, позволяющее устранить уязвимость.

«Пока корпорация Microsoft не выпустит постоянный патч для установщика Windows, каждый желающий сможет скачать временную версию патча на нашей платформе 0Patch. Это исправление имеет одну инструкцию, перезагрузки системы не потребуется», – отметил Митя Колсек.

На представленном ниже видео можно видеть, что установленный патч от 0Patch не позволяет локальному пользователю, который не имеет прав администратора, менять значение реестра, указывающее на исполняемый файл службы факсов, что потенциально могло бы привести к запуску злоумышленником произвольного кода в скомпрометированной системе:

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *