首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Windows Installer提權0day獲得非官方補丁

發布時間 2021-12-10


0x00 漏洞概述

CVE     ID


時      間

2021-12-02

類       型

權限提升

等      級

高危

遠程利用


影響范圍


攻擊復雜度


可用性


用戶交互


所需權限


PoC/EXP

已公開

在野利用

 

0x01 漏洞詳情

image.png

近日,Microsoft Windows Installer中一個權限提升0day漏洞被正在被攻擊者利用。該漏洞能夠使攻擊者提升權限并以管理員權限運行代碼,影響了所有 Windows 版本,包括 Windows 11 和 Windows Server 2022,并且此漏洞的PoC/EXP已在互聯網上公開。

11月9日,微軟發布了CVE-2021-41379的安全更新,但修復并不完善。研究人員發現通過利用 Microsoft Edge Elevation Service 的自由訪問控制列表 (DACL) 將系統上的任何可執行文件替換為 MSI 文件,可以導致攻擊者以管理員身份運行代碼。目前微軟暫未發布此漏洞的補丁。

雖然該0day(目前暫無CVE ID)被多方引用為對CVE-2021-41379的繞過,但研究人員表示情況并非如此。該漏洞源于Windows Installer創建回滾文件(.RBF)的方式,該文件允許恢復安裝過程中刪除或修改的數據。如果在C:\Windows\Installer\Config.msi * 中創建RBF 文件,該文件隨后會被移動到啟動用戶臨時文件夾中的已知位置,而在該位置,文件的權限也會被修改,以授予用戶寫權限??梢酝ㄟ^創建符號鏈接來利用此漏洞,由于Windows Installer是作為本地系統運行的,任何可由本地系統寫入的文件都可以被本地用戶覆蓋并成為可寫入的文件。

12月2日,0patch平臺發布了該漏洞的微補丁,以臨時修復該漏洞。

 

影響范圍

所有 Windows 版本

 

0x02 處置建議

在微軟發布此漏洞的正式補丁之前,最好的防御措施是運行 0Patch 發布的臨時補丁,它可以即時應用,且不需要重新啟動機器。但0patch平臺發布的臨時補丁目前僅支持部分Windows版本:

Windows 10 v21H1 (32 & 64 bit) updated with November 2021 Updates

Windows 10 v20H2 (32 & 64 bit) updated with November 2021 Updates

Windows 10 v2004 (32 & 64 bit) updated with November 2021 Updates

Windows 10 v1909 (32 & 64 bit) updated with November 2021 Updates

Windows 10 v1903 (32 & 64 bit) updated with November 2021 Updates

Windows 10 v1809 (32 & 64 bit) updated with May 2021 Updates

Windows 10 v1803 (32 & 64 bit) updated with May 2021 Updates

Windows 10 v1709 (32 & 64 bit) updated with October 2020 Updates

Windows 7 ESU (32 & 64 bit) updated with November 2021 Updates

Windows Server 2019 updated with November 2021 Updates

Windows Server 2016 updated with November 2021 Updates

Windows Server 2012 R2 updated with November 2021 Updates

Windows Server 2012 updated with November 2021 Updates

Windows Server 2008 R2 ESU (32 & 64 bit) updated with November 2021 Updates

下載鏈接:

https://0patch.com/

 

0x03 參考鏈接

https://blog.0patch.com/2021/12/free-micropatches-for.html

https://github.com/klinix5/InstallerFileTakeOverPatch

https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html

https://www.bleepingcomputer.com/news/security/windows-installerfiletakeover-zero-day-bug-gets-free-micropatch/

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-12-10

首次發布

 

0x05 關于我們

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內最具實力的信息安全產品和安全管理平臺、安全服務與解決方案的領航企業之一。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系;并在華北、華東、西南和華南布局四大研發中心,分別為北京研發總部、上海研發中心、成都研發中心和廣州研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

 

上一篇 下一篇