-
-
[原创]Windows Installer在野提权0day漏洞风险通告
-
发表于: 2021-2-2 09:56
-
一、背景
2020年12月26日,国外安全研究员公开了一个Windows Installer(MSI 管理器)的0day提权漏洞,该漏洞允许攻击者在最新的Windows系统中完成特权提升(运行攻击者构造的恶意程序,可能在非管理员权限登录后获取系统最高权限)。由于目前还没有补丁,该漏洞尚处于0day阶段,但漏洞利用代码(EXP)已被公开,意味着黑客的恶意利用可能很快到来。
腾讯安全专家建议用户不要随意点击可疑程序(攻击者可能通过邮件、社交媒体工具等途径发送诱饵文件),安装腾讯电脑管家或零信任无边界访问控制系统(iOA)可检测已出现的在野攻击样本。
Windows Installer(MSI 管理器)中存在一处逻辑漏洞,可导致本地特权提升。攻击者可通过MSI管理器的文件备份相关逻辑漏洞,欺骗Windows Installer使用攻击者提供的rbs回滚脚本,该脚本通过修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath 键值来劫持Fax服务,导致该服务启动时会已高特权运行攻击者提供的程序。
受影响的Windows版本:
Windows10 1607-20H2、Windows 8.1
预计微软会在本月的安全更新中修复该漏洞。
二、腾讯安全解决方案
腾讯安全已应急响应,支持查杀拦截利用该漏洞攻击的恶意样本,腾讯安全专家建议用户使用腾讯电脑管家或腾讯T-Sec零信任无边界访问控制系统(iOA)保护系统,另建议网友避免点击未知来源的文件,恶意攻击者可能通过伪造的电子邮件附件、社交媒体消息传送诱饵文件,欺骗受害者运行。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
