Уязвимость повышения привилегий в установщике Windows получила микропатч

Уязвимость в компоненте установщика Windows, которую корпорация Microsoft безуспешно пыталась исправить несколько раз, получила микропатч, лишающий хакеров возможности получить повышенные привилегии на скомпрометированной системе.

Проблема затрагивает версии ОС Windows с 7 по 10. Последняя попытка Microsoft решить эту проблему ( CVE-2020-16902 ) была предпринята в октябре прошлого года, а в конце декабря был опубликован PoC-код для ее эксплуатации.

Во время установки пакета MSI установщик Windows создает скрипт отката через msiexec.exe, чтобы отменить любые изменения в случае сбоя в процессе. Злоумышленник с локальными привилегиями может запустить исполняемый файл с разрешениями SYSTEM, если заменит скрипт отката на другой, изменяющий значение реестра, чтобы указать на полезную нагрузку.

Уязвимость была обнаружена Microsoft, и компания исправила ее ​​в апреле 2019 года ( CVE-2019-0841 ). Исследователь безопасности, использующий псевдоним Sandbox Escaper , обнаружил обходной путь в конце мая и опубликовал некоторые технические подробности. Компания предприняла еще четыре попытки исправить проблему (CVE-2019-1415, CVE-2020-1302 , CVE-2020-0814 , CVE-2020-16902 ), однако установщик Windows по-прежнему можно использовать для повышения привилегий.

Последний обход был описан исследователем безопасности Абдельхамидом Насери вместе с другими уязвимостями, затрагивающими несколько программных решений безопасности.

Генеральный директор ACROS Security и соучредитель сервиса микропатчинга 0patch Митя Колсек (Mitja Kolsek) пояснил , как работает PoC-код для эксплуатации уязвимости, опубликованный Насери.

«PoC-код для эксплуатации уязвимости использует скрипт отката, который изменяет значение HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet services Fax ImagePath на c: Windows temp asmae.exe, в результате чего служба факсов использует asmae.exe злоумышленника при запуске», — пояснил Колсек.

Пользователи могут установить временный патч через платформу 0Patch, пока Microsoft не выпустит официальное исправление. Микропатч не позволяет локальному пользователю без прав администратора изменять значение реестра, указывающее на исполняемый файл службы факсов, что может привести к запуску кода злоумышленника.