Vulnérabilité dans le composant Windows Installer, que Microsoft a déjà essayé à plusieurs reprises de corriger, a reçu un autre correctif à partir du service 0Patch, qui privera des cybercriminels de la capacité d'obtenir des privilèges maximaux dans le système de compromis.
La vulnérabilité affecte Windows 7 et Windows 10. L'erreur dispose d'un identifiant CVE-2020-16902. Microsoft a déjà essayé de résoudre le problème en avril 2019 et à l'octobre 2020, mais sans succès.
Lors de l'installation du package MSI, le programme d'installation Windows crée un script Rollback à l'aide de MSIExec.exe pour annuler tout changement si quelque chose ne va pas pendant le processus. Cybercriminator ayant des privilèges locaux peut créer un fichier exécutable avec des autorisations système, ce qui vous permet de modifier le script pour faire rouler des thèmes qui modifient la valeur de registre indiquant la charge utile.
La vulnérabilité a été découverte et a initialement corrigé Microsoft en avril 2019, mais les spécialistes de la sécurité des informations de Sandbox Escape ont trouvé une solution de contournement en mai 2019, publiant des détails techniques.
L'histoire de la vulnérabilité de Windows Installer a été répétée quatre fois au cours des deux dernières années - il peut toujours être utilisé pour augmenter les privilèges au maximum possible sur des périphériques compromis.
Mitya Colek, PDG de Security ACROS et Compondeur de la société 0Patch, expliqua exactement comment réparer le programme d'installation Windows, permettant d'éliminer la vulnérabilité.
"Bien que Microsoft ne publie pas de patch permanent pour Windows Installer, chacun sera en mesure de télécharger une version temporaire du patch sur notre plate-forme 0Patch. Cette correction a une instruction, le redémarrage du système ne sera pas nécessaire », a déclaré Mitya Kolesk.
Sur la vidéo ci-dessous, vous pouvez voir que le patch monté de 0Patch ne permet pas à l'utilisateur local qui n'a pas de droits d'administrateur, modifier la valeur de registre indiquant le fichier de service de fax exécutable, qui pourrait potentiellement conduire au lancement d'un attaquant de code arbitraire. Dans le système compromis:
Matériau plus intéressant sur cisoClub.ru. Abonnez-vous à nous: Facebook | Vk | Twitter | Instagram | Télégramme | Zen | Messager | ICQ nouveau | YouTube | Impulsion.