长按二维码关注
腾讯安全威胁情报中心
2020年12月26日,国外安全研究员公开了一个Windows Installer(MSI 管理器)的0day提权漏洞,该漏洞允许攻击者在最新的Windows系统中完成特权提升。运行攻击者构造的恶意程序,可能在非管理员权限登录后获取系统最高权限。由于目前还没有补丁,该漏洞尚处于0day阶段,但漏洞利用代码(EXP)已被公开,意味着该漏洞风险极大,且黑客的恶意利用可能很快到来。
腾讯安全专家建议用户不要随意点击可疑程序(攻击者可能通过邮件、社交媒体工具等途径发送诱饵文件),安装腾讯电脑管家或零信任无边界访问控制系统(iOA)可检测已出现的在野攻击样本。
Windows Installer(MSI 管理器)中存在一处逻辑漏洞,可导致本地特权提升。攻击者可通过MSI管理器的文件备份相关逻辑漏洞,欺骗Windows Installer使用攻击者提供的rbs回滚脚本,该脚本通过修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesFaxImagePath键值来劫持Fax服务,导致该服务启动时会已高特权运行攻击者提供的程序。
受影响的Windows版本:
Windows 10 1607-20H2、Windows 8.1,以及部分Windows Server系统。
预订微软会在本月的安全更新中修复该漏洞。
腾讯安全2月1日已应急响应,支持查杀拦截利用该漏洞攻击的恶意样本,腾讯安全专家建议用户使用腾讯电脑管家或腾讯T-Sec零信任无边界访问控制系统(iOA)保护系统,另建议网友避免点击未知来源的文件,恶意攻击者可能通过伪造的电子邮件附件、社交媒体消息传送诱饵文件,欺骗受害者运行。
腾讯安全全系列产品完整响应清单如下:
|
应用 场景 |
安全产品 |
解决方案 |
|
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)Windows Installer提权0day漏洞利用样本相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
|
腾讯T-Sec 高级威胁追溯系统 |
1)Windows Installer提权0day漏洞利用样本相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
1)已支持检测Windows Installer提权0day漏洞利用样本的攻击利用。
关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
|
腾讯T-Sec零信任无边界访问控制系统(iOA) |
1)已支持查杀Windows Installer提权0day漏洞利用样本相关恶意程序。
关于T-Sec零信任无边界访问控制系统(iOA)的更多资料,可参考:https://s.tencent.com/product/ioa/index.html |
|
|
个人 用户 |
腾讯电脑管家 |
1)已支持查杀Windows Installer提权0day漏洞利用样本相关恶意程序。
关于腾讯电脑管家的更多资料,可参考:https://guanjia.qq.com/ |
本文始发于微信公众号(腾讯安全威胁情报中心):Windows Installer在野提权0day漏洞风险通告,腾讯安全已应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论