Windows Installer在野提权0day漏洞风险通告

腾讯电脑管家

一、背景

2020年12月26日，国外安全研究员公开了一个Windows Installer(MSI 管理器)的0day提权漏洞，该漏洞允许攻击者在最新的Windows系统中完成特权提升（运行攻击者构造的恶意程序，可能在非管理员权限登录后获取系统最高权限）。由于目前还没有补丁，该漏洞尚处于0day阶段，但漏洞利用代码（EXP）已被公开，意味着黑客的恶意利用可能很快到来。

腾讯安全专家建议用户不要随意点击可疑程序（攻击者可能通过邮件、社交媒体工具等途径发送诱饵文件），安装腾讯电脑管家或零信任无边界访问控制系统（iOA）可检测已出现的在野攻击样本。

Windows Installer(MSI 管理器)中存在一处逻辑漏洞，可导致本地特权提升。攻击者可通过MSI管理器的文件备份相关逻辑漏洞，欺骗Windows Installer使用攻击者提供的rbs回滚脚本，该脚本通过修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath 键值来劫持Fax服务，导致该服务启动时会已高特权运行攻击者提供的程序。

受影响的Windows版本：

Windows10 1607-20H2、Windows 8.1

预计微软会在本月的安全更新中修复该漏洞。

二、腾讯安全解决方案

腾讯安全已应急响应，支持查杀拦截利用该漏洞攻击的恶意样本，腾讯安全专家建议用户使用腾讯电脑管家或腾讯T-Sec零信任无边界访问控制系统（iOA）保护系统，另建议网友避免点击未知来源的文件，恶意攻击者可能通过伪造的电子邮件附件、社交媒体消息传送诱饵文件，欺骗受害者运行。