IB-specialister forsøger at eliminere sårbarheden af ​​nul dag i Windows Installer

Sårbarhed i Windows Installer-komponenten, som Microsoft allerede gentagne gange har forsøgt at rette, modtog en anden patch fra 0patch-tjenesten, som vil fratage cyberkriminelle for evnen til at opnå maksimale privilegier i kompromissystemet.

Sårbarhed påvirker Windows 7 og Windows 10. Fejlen har en CVE-2020-16902-identifikator. Microsoft har allerede forsøgt at løse problemet i april 2019 og 2020 oktober, men mislykkes.

Under installationen af ​​MSI-pakken opretter Windows Installer et tilbagekaldsskript ved hjælp af MSIExec.exe for at annullere eventuelle ændringer, hvis noget går galt under processen. CyberCriminator med lokale privilegier kan starte en eksekverbar fil med systemtilladelser, som giver dig mulighed for at ændre scriptet for at rulle tilbage temaer, der ændrer registreringsværdien, der angiver nyttelast.

Sårbarhed blev opdaget og oprindeligt korrigeret Microsoft i april 2019, men informationssikkerhedsspecialister fra Sandbox Escape fandt en løsning i maj 2019, udgivelse af nogle tekniske detaljer.

Windows Installers sårbarhedshistorie blev gentaget fire gange i løbet af de sidste to år - det kan stadig bruges til at øge privilegier til det maksimale mulige på kompromitterede enheder.

Mitya Colek, Acros Security CEO og Companyer of the Company 0patch, forklarede præcis, hvordan man løser Windows Installer, hvilket giver mulighed for at eliminere sårbarhed.

"Mens Microsoft ikke frigiver et permanent patch til Windows Installer, vil hver kunne downloade en midlertidig version af patchen på vores 0patchplatform. Denne korrektion har en instruktion, systemet genstart vil ikke blive påkrævet, "sagde Mitya Kolsek.

På videoen nedenfor kan du se, at den monterede patch fra 0patch ikke tillader, at den lokale bruger, der ikke har administratorrettigheder, ændrer registreringsværdien, der angiver den eksekverbare faxfil, som potentielt kunne føre til lanceringen af ​​en vilkårlig kodeangreb I det kompromitterede system:

Mere interessant materiale på cisoclub.ru. Abonner på os: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NYE | YouTube | Puls.