GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Windows Installer组件0day缝隙

颁布功夫 2021-02-01

0x00 缝隙概述

CVE ID		时间	2021-02-01
类型	权限提升	等级	高危
远程利用	否	影响领域	Windows 7- Windows 10

0x01 缝隙详情

简述

Windows Installer是Windows中的一个组件，它是专门用来治理和配置软件服务的工具。

2020年10月，Microsoft建复了Windows Installer组件中的一个缝隙（CVE-2020-16902，其CVSS评分7.8。该缝隙曾被屡次建复、绕过，汗青追踪为CVE-2019-1415、CVE-2020-1302和CVE-2020-0814），但该缝隙的建复法式仍可被绕过。12月下旬，该缝隙的PoC被公开。Microsoft一向没有齐全建复此缝隙。

近日，Microsoft屡次尝试建复的Windows Installer组件缝隙（CVE-2020-16902补丁的绕过）获得了一个一时补丁，该补丁可能预防攻击者利用缝隙获取指标系统的最高权限。

缝隙分析

在装置MSI软件包的过程中，Windows Installer会通过“ msiexec.exe”创建回滚剧本，以便在过程中出现谬误时还原所有更改。

拥有本地权限的攻击者若是能够用一个扭转注册表致反指向他们的Payload的脚正本代替回滚剧本，则能够运行拥有SYSTEM权限的可执行文件。

缝隙复现

该缝隙的PoC中使用的是回滚剧本，它将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/Fax/ImagePath的值更改为c:\Windows/tempasmae.exe，导致传真服务启动时使用攻击者的asmae.exe。之所以使用该服务，是由于任何用户都能够启动该服务，并且该服务以本地系统的身份运行。

该缝隙的微补丁法式通过阻止本地非治理员用户批改指向传真服务可执行文件的注册表致反预防攻击者运行代码。PoC复现如下：

0Patch的一时补丁合用于以下系统：

Windows 10 v20H2 32/64位，已于2021年1月更新

Windows 10 v2004 32/64位，于2021年1月更新

Windows 10 v1909 32/64位，已于2021年1月更新

Windows 7、32/64位和ESU，于2021年1月更新

Windows 7、32/64位（不带ESU），已于2020年1月更新

0x02 措置建议

在Microsoft颁布永远补丁之前，能够通过0Patch平台下载一时补丁。

下载链接：

https://blog.0patch.com/2021/01/windows-installer-local-privilege.html

0x03 参考链接

https://blog.0patch.com/2021/01/windows-installer-local-privilege.html

https://www.bleepingcomputer.com/news/security/windows-installer-zero-day-vulnerability-gets-free-micropatch/

https://halove23.blogspot.com/2020/12/oh-so-you-have-antivirus-nameevery-bug.html

0x04 功夫线

2021-01-28 0Patch颁布一时补丁

2021-02-01 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】