风险通告
近日,奇安信CERT监测到一枚Windows Installer提权漏洞,该漏洞 EXP已在互联网上公开。Windows Installer在进行某些文件系统操作时,存在一个权限提升漏洞,本地攻击者通过在目标系统上运行恶意程序来利用此漏洞,成功利用此漏洞可在目标系统上提升至SYSTEM权限。该漏洞为CVE-2020-16902的补丁绕过,目前微软暂未发布相关补丁程序。经过奇安信CERT的验证,漏洞存在,EXP可用。鉴于此漏洞影响较大,建议客户尽快参考缓解措施以防范此漏洞。
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
是 |
已公开 |
已公开 |
未知 |
在安装 MSI 包时,Windows Installer 通过 “msiexec.exe” 创建了一个回滚脚本,如过程中发生错误将恢复所做变化,此流程中存在一个权限提升漏洞。具有本地权限的攻击者可利用此漏洞修改关键注册表键值使其指向payload,从而以SYSTEM权限运行可执行文件。
公开的 EXP 中使用的回滚脚本将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesFaxImagePath的值更改为C:Windowstempasmae.exe,这将导致传真服务启动时使用攻击者提供的asmae。该服务以本地系统的身份运行且任何用户都可以启动该服务,因而攻击者将获得SYSTEM权限来执行任意代码。
奇安信CERT已第一时间验证此 EXP:
Windows 10 1607-20H2
Windows 8.1
部分Windows Server
2、慎重打开来源不明的可执行文件。
3、密切关注微软的安全公告和奇安信CERT的漏洞通告,以尽快获取漏洞相应的补丁。
2021年2月3日,奇安信 CERT发布安全风险通告
本文始发于微信公众号(奇安信 CERT):【安全风险通告】EXP已验证,Windows Installer特权提升漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论