Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应

  • A+
所属分类:安全漏洞

Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应

长按二维码关注

腾讯安全威胁情报中心

一、概述

2020年12月26日,国外安全研究员公开了一个Windows Installer(MSI 管理器)的0day提权漏洞,该漏洞允许攻击者在最新的Windows系统中完成特权提升。运行攻击者构造的恶意程序,可能在非管理员权限登录后获取系统最高权限。由于目前还没有补丁,该漏洞尚处于0day阶段,但漏洞利用代码(EXP)已被公开,意味着该漏洞风险极大,且黑客的恶意利用可能很快到来。

腾讯安全专家建议用户不要随意点击可疑程序(攻击者可能通过邮件、社交媒体工具等途径发送诱饵文件),安装腾讯电脑管家或零信任无边界访问控制系统(iOA)可检测已出现的在野攻击样本。

Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应

 

Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应


Windows Installer(MSI 管理器)中存在一处逻辑漏洞,可导致本地特权提升。攻击者可通过MSI管理器的文件备份相关逻辑漏洞,欺骗Windows Installer使用攻击者提供的rbs回滚脚本,该脚本通过修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesFaxImagePath键值来劫持Fax服务,导致该服务启动时会已高特权运行攻击者提供的程序。

Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应


受影响的Windows版本:
Windows 10 1607-20H2、Windows 8.1,以及部分Windows Server系统。

预订微软会在本月的安全更新中修复该漏洞。

二、腾讯安全解决方案

腾讯安全2月1日已应急响应,支持查杀拦截利用该漏洞攻击的恶意样本,腾讯安全专家建议用户使用腾讯电脑管家或腾讯T-Sec零信任无边界访问控制系统(iOA)保护系统,另建议网友避免点击未知来源的文件,恶意攻击者可能通过伪造的电子邮件附件、社交媒体消息传送诱饵文件,欺骗受害者运行。


腾讯安全全系列产品完整响应清单如下:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)Windows Installer提权0day漏洞利用样本相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)Windows Installer提权0day漏洞利用样本相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持检测Windows Installer提权0day漏洞利用样本的攻击利用。

 

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec零信任无边界访问控制系统(iOA)

1)已支持查杀Windows Installer提权0day漏洞利用样本相关恶意程序。

 

关于T-Sec零信任无边界访问控制系统(iOA)的更多资料,可参考:https://s.tencent.com/product/ioa/index.html

个人

用户

腾讯电脑管家

1)已支持查杀Windows Installer提权0day漏洞利用样本相关恶意程序。

 

关于腾讯电脑管家的更多资料,可参考:https://guanjia.qq.com/


Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应

Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应

Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应

本文始发于微信公众号(腾讯安全威胁情报中心):Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: