查看: 11235|回复: 0
收起左侧

[技术原创] Windows Installer在野提权0day漏洞风险通告

[复制链接]
腾讯电脑管家
发表于 2021-2-2 09:46:43 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2021-2-2 09:50 编辑

一、背景
2020年12月26日,国外安全研究员公开了一个Windows Installer(MSI 管理器)的0day提权漏洞,该漏洞允许攻击者在最新的Windows系统中完成特权提升(运行攻击者构造的恶意程序,可能在非管理员权限登录后获取系统最高权限)。由于目前还没有补丁,该漏洞尚处于0day阶段,但漏洞利用代码(EXP)已被公开,意味着黑客的恶意利用可能很快到来。

腾讯安全专家建议用户不要随意点击可疑程序(攻击者可能通过邮件、社交媒体工具等途径发送诱饵文件),安装腾讯电脑管家或零信任无边界访问控制系统(iOA)可检测已出现的在野攻击样本。





Windows Installer(MSI 管理器)中存在一处逻辑漏洞,可导致本地特权提升。攻击者可通过MSI管理器的文件备份相关逻辑漏洞,欺骗Windows Installer使用攻击者提供的rbs回滚脚本,该脚本通过修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath 键值来劫持Fax服务,导致该服务启动时会已高特权运行攻击者提供的程序。


受影响的Windows版本:
Windows10 1607-20H2、Windows 8.1

预计微软会在本月的安全更新中修复该漏洞。



二、腾讯安全解决方案
腾讯安全已应急响应,支持查杀拦截利用该漏洞攻击的恶意样本,腾讯安全专家建议用户使用腾讯电脑管家或腾讯T-Sec零信任无边界访问控制系统(iOA)保护系统,另建议网友避免点击未知来源的文件,恶意攻击者可能通过伪造的电子邮件附件、社交媒体消息传送诱饵文件,欺骗受害者运行。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-4 16:24 , Processed in 0.124818 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表