【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告

admin 2021年5月17日08:39:05评论96 views字数 1235阅读4分7秒阅读模式
【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到一枚Windows Installer提权漏洞,该漏洞 EXP已在互联网上公开。Windows Installer在进行某些文件系统操作时,存在一个权限提升漏洞,本地攻击者通过在目标系统上运行恶意程序来利用此漏洞,成功利用此漏洞可在目标系统上提升至SYSTEM权限。该漏洞为CVE-2020-16902的补丁绕过,目前微软暂未发布相关补丁程序。经过奇安信CERT的验证,漏洞存在,EXP可用。鉴于此漏洞影响较大,建议客户尽快参考缓解措施以防范此漏洞。




当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

已公开

未知




漏洞描述

近日,奇安信CERT监测到一枚Windows Installer提权漏洞,该漏洞 EXP已在互联网上公开。Windows Installer在进行某些文件系统操作时,存在一个权限提升漏洞,本地攻击者可通过在目标系统上运行恶意程序来利用此漏洞,成功利用此漏洞可在目标系统上提升至SYSTEM权限。该漏洞为CVE-2020-16902的补丁绕过,目前微软暂未发布相关补丁程序。


在安装 MSI 包时,Windows Installer 通过 “msiexec.exe” 创建了一个回滚脚本,如过程中发生错误将恢复所做变化,此流程中存在一个权限提升漏洞。具有本地权限的攻击者可利用此漏洞修改关键注册表键值使其指向payload,从而以SYSTEM权限运行可执行文件。


 公开的 EXP 中使用的回滚脚本将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesFaxImagePath的值更改为C:Windowstempasmae.exe,这将导致传真服务启动时使用攻击者提供的asmae。该服务以本地系统的身份运行且任何用户都可以启动该服务,因而攻击者将获得SYSTEM权限来执行任意代码。


奇安信CERT已第一时间验证此 EXP:

【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告



风险等级

奇安信 CERT风险评级为:中危
风险等级:蓝色(一般事件)



影响范围

Windows 10 1607-20H2

Windows 8.1

部分Windows Server



处置建议

1、保持防病毒软件的病毒库在最新版本。

2、慎重打开来源不明的可执行文件。

3、密切关注微软的安全公告和奇安信CERT的漏洞通告,以尽快获取漏洞相应的补丁。



参考资料

[1]https://halove23.blogspot.com/2020/12/oh-so-you-have-antivirus-nameevery-bug.html



时间线

20212月3日,奇安信 CERT发布安全风险通告


【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月17日08:39:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告https://cn-sec.com/archives/260258.html

发表评论

匿名网友 填写信息