Neaizsargātība Windows Installer komponentā, ko Microsoft jau vairākkārt mēģinājis labot, saņēma vēl vienu plāksteri no 0Patch Service, kas atņems cybercriminals spēju iegūt maksimālu privilēģijas kompromisa sistēmā.
Neaizsargātība ietekmē Windows 7 un Windows 10. Kļūdai ir CVE-2020-16902 identifikators. Microsoft jau ir mēģinājis atrisināt problēmu 2019. gada aprīlī un 2020. gada oktobrī, bet neveiksmīgi.
MSI paketes instalēšanas laikā Windows Installer izveido atcelšanas skriptu, izmantojot Msiexec.exe, lai atceltu visas izmaiņas, ja kaut kas process notiek nepareizi. Cybercriminator ar vietējām privilēģijām var sākt izpildāmo failu ar sistēmas atļaujām, kas ļauj mainīt skriptu, lai atgrieztu tēmas, kas maina reģistra vērtību, kas norāda uz slodzi.
Neaizsargātība tika atklāta un sākotnēji koriģēta Microsoft 2019. gada aprīlī, bet informācijas drošības speciālisti no Sandbox Escape atrada risinājumu 2019. gada maijā, publicējot dažas tehniskas detaļas.
Windows Installer's ievainojamības stāsts tika atkārtots četras reizes pēdējo divu gadu laikā - to joprojām var izmantot, lai palielinātu privilēģijas maksimāli iespējami uz apdraudētām ierīcēm.
Mitya Colek, ACCOS Security CEO un Companecter no uzņēmuma 0Patch, paskaidroja tieši to, kā noteikt Windows Installer, ļaujot novērst ievainojamību.
"Lai gan Microsoft neatbrīvo pastāvīgu plāksteri Windows Installer, katrs varēs lejupielādēt pagaidu versiju plāksteris mūsu 0Patch platformā. Šai korekcijai ir viena instrukcija, sistēma atsākšanai nebūs nepieciešama, "sacīja Mitha Kolsek.
Uz zemāk redzamajiem videoklipiem var redzēt, ka uzstādītais plāksteris no 0Patch neļauj vietējam lietotājam, kuram nav administratora tiesību, mainiet reģistra vērtību, kas norāda izpildāmo faksa pakalpojumu failu, kas varētu izraisīt patvaļīgas kodu uzbrucēja uzsākšanu apdraudētā sistēmā:
Vairāk interesantu materiālu Cisoclub.ru. Abonēt mums: Facebook | Vk | Twitter | Instagram | Telegramma | Zen | Messenger | ICQ NEW | YouTube | Pulss.