0x00 漏洞概述

CVE ID

时 间

2021-02-01

类 型

权限提升

等 级

高危

远程利用

影响范围

Windows 7- Windows 10

0x01 漏洞详情

简述

Windows Installer是Windows中的一个组件,它是专门用来管理和配置软件服务的工具。

2020年10月,Microsoft修复了Windows Installer组件中的一个漏洞(CVE-2020-16902,其CVSS评分7.8。该漏洞曾被多次修复、绕过,历史追踪为CVE-2019-1415、CVE-2020-1302和CVE-2020-0814),但该漏洞的修复程序仍可被绕过。12月下旬,该漏洞的PoC被公开。Microsoft一直没有完全修复此漏洞。

近日,Microsoft多次尝试修复的Windows Installer组件漏洞(CVE-2020-16902补丁的绕过)获得了一个临时补丁,该补丁能够避免攻击者利用漏洞获取目标系统的最高权限。

漏洞分析

在安装MSI软件包的过程中,Windows Installer会通过“ msiexec.exe”创建回滚脚本,以便在过程中出现错误时还原所有更改。

具有本地权限的攻击者如果可以用一个改变注册表值来指向他们的Payload的脚本来替换回滚脚本,则可以运行具有SYSTEM权限的可执行文件。

漏洞复现

该漏洞的PoC中使用的是回滚脚本,它将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/Fax/ImagePath的值更改为c:\Windows/tempasmae.exe,导致传真服务启动时使用攻击者的asmae.exe。之所以使用该服务,是因为任何用户都可以启动该服务,并且该服务以本地系统的身份运行。

该漏洞的微补丁程序通过阻止本地非管理员用户修改指向传真服务可执行文件的注册表值来防止攻击者运行代码。PoC复现如下:

0Patch的临时补丁适用于以下系统:

Windows 10 v20H2 32/64位,已于2021年1月更新

Windows 10 v2004 32/64位,于2021年1月更新

Windows 10 v1909 32/64位,已于2021年1月更新

Windows 7、32/64位和ESU,于2021年1月更新

Windows 7、32/64位(不带ESU),已于2020年1月更新

0x02 处置建议

在Microsoft发布永久补丁之前,可以通过0Patch平台下载临时补丁。

下载链接:

https://blog.0patch.com/2021/01/windows-installer-local-privilege.html

0x03 参考链接

https://blog.0patch.com/2021/01/windows-installer-local-privilege.html

https://www.bleepingcomputer.com/news/security/windows-installer-zero-day-vulnerability-gets-free-micropatch/

https://halove23.blogspot.com/2020/12/oh-so-you-have-antivirus-nameevery-bug.html

0x04 时间线

2021-01-28 0Patch发布临时补丁

2021-02-01 VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。